一、总述
近期,火绒安全团队截获一批绑缚在《地下城与勇士》游戏外挂上的主页绑架病毒。依据技能剖析追溯,咱们承认这些病毒的首要传达源是一个游戏外挂网站,从而发现,这个外挂站是一个巨大的“病毒窝点”,传达的电脑病毒品种之多、数量之大,令人惊奇。
整体说来,该网站隐藏三类病毒,一类是游戏用户疾恶如仇的盗号木马,二类是操控用户电脑,绑架主页的后门病毒,三类是强制绑缚装置软件的下载器病毒。该网站的用户会被随机感染数种病毒,电脑遭到耐久的多重损害和打扰。
这个游戏外挂网站是hxxp://www.dnf3996.com、hxxp://www.dnf9669.com、hxxp:// www.wg9669.com。
该站的运作流程如下:1、游戏外挂作者将自己开发的外挂程序放到该网站进行推广,并设定每个外挂的金额;2、署理商先付费取得署理资历,然后用各种方式(如 *** 群等)推广、出售这些外挂程序,赚取署理费。
《地下城与勇士》是一款用户很多的经典网游,针对这款游戏的外挂数量巨大。电脑病毒 *** 者瞄准该游戏的海量外挂用户们,将各种电脑病毒和外挂程序绑缚在一起,进行再打包,然后经过这个外挂途径往外传达。依据“火绒要挟情报体系”计算,被这些病毒感染的用户,现已覆盖了全国大部分地区。
更为奇葩的是,除了盗取游戏账号、操控用户电脑锁首(将主页强行修改为“2345”导航站)之外,第三类下载器病毒绑缚装置的,竟然是老牌杀毒软件“瑞星”。依据测验,这款“瑞星”装入用户电脑之后,各种正常的安全模块都不敞开,唯一敞开自我维护和弹窗广告模块——也便是说,除了长时间驻留电脑打扰用户之外,没有任何功用。依据软件签名和下载地址能够承认,这款“专门弹窗版”瑞星杀毒软件,并非外部团伙的篡改和构陷,而是来自于瑞星官方。
二、病毒行为简述
病毒推广站页面如下图所示:
图 1 外挂推广网站
图中所示,如“DNF XX辅佐”便是归于不同的外挂作者的推广途径,该网站中称之为端口。不同的推广端口对应的价格不同,经过一段时间的验证咱们发现,外挂带毒首要会集在贱价外挂区域,其外挂中不定期会绑缚病毒程序。该推广站所触及的病毒共有三类,一类是下载器病毒,一类是经过缝隙传达的盗号木马,另一类是具有主页绑架功用的后门病毒。
2.1下载器病毒
咱们在该站“DNF封神辅佐”推广端口下载到了绑缚此类病毒的外挂。文件特点如下图所示:
图 2 文件特点
外挂运转后,界面如下图所示:
图 3 外挂界面
其首先会开释带有数字签名且文件名随机的ThunderShell程序。如下图所示:
图 4 文件特点
ThunderShell程序发动时,会加载名为LiveUDHelper.dll的病毒动态库,该动态库中包括歹意代码。其加载后会发动体系svchost进程对其进程注入,注入内容为LiveUDHelper.dll中的一个子PE文件。该PE文件中包括真实的下载器病毒代码,履行后会下载hxxp://dl.i1236.com/dl/wrqdown2/ravv16stdf10O4120001.exe。如下图所示:
图 5 歹意推广行为日志
图 6 进程树
经过文件特点咱们能够看出其所下载的文件是一个7Z自解压包,而且包括瑞星数字签名,如下图所示:
图 7 软件装置包
图 8 数字签名详细信息
更值得一提的是,该病毒与以往咱们见到的歹意推广病毒不同,其只推广瑞星杀毒软件,且其推广的该版别瑞星杀毒软件不具有任何杀毒功用,除了自保功用外,只会不定期弹出广告,甚至连软件主界面都无法正常发动。
软件广告弹窗,如下图所示:
图 9 广告弹窗
依据域名查询成果,下载该版别瑞星杀毒软件的域名(hxxp://dl. i1236.com)与瑞星官方论坛域名(hxxp://www.ikak *** )的注册人信息共同。如下图所示:
[1] [2] [3] [4] [5] 黑客接单网
「相册破解_深圳黑客在哪里找-北京找黑客深圳户」[1][2]黑客接单渠道http://i.camera360.com/oalogin.html?action=logout&redirectUr...
履行指令· 总部坐落日本大阪的Tech Bureau Corp.旗下的Zaif买卖所发生了比特币(Bitcoin)、萌奈币(MonaCoin)和比特币现金(Bitcoin Cash)被盗事情,Zaif...
近些阵子反序列化缝隙横行,看了几篇文章,整个缝隙发现进程对错常有意思的,所以期望总结下来,共享给我们一同研究讨论,如有缺乏还请多多纠正。 正文 phar RCE 2019年HITCON上,baby c...
也便是admin列的长度为5,这个要记住。 下面获取password的内容长度,如下↓ ↓↓↓↓↓↓02 特别的MSSQL特性:CS(CSN):从设备使能信号,由主设备操控。 Rips源代码审计体系是...
https://pivotal.io/security/cve-2019-3799Release: 18.04Windows 7 x64简单的来说,只有在apache开启多个端口的情况下,才会生成mu...
最后用 RMI 绑定实例目标办法,并运用 JNDI 去获取并调用目标办法(CallService.java):$html.= ''; emDirect("./plugin.php?error_d=1...