一、总述
近期,火绒安全团队截获一批绑缚在《地下城与勇士》游戏外挂上的主页绑架病毒。依据技能剖析追溯,咱们承认这些病毒的首要传达源是一个游戏外挂网站,从而发现,这个外挂站是一个巨大的“病毒窝点”,传达的电脑病毒品种之多、数量之大,令人惊奇。
整体说来,该网站隐藏三类病毒,一类是游戏用户疾恶如仇的盗号木马,二类是操控用户电脑,绑架主页的后门病毒,三类是强制绑缚装置软件的下载器病毒。该网站的用户会被随机感染数种病毒,电脑遭到耐久的多重损害和打扰。
这个游戏外挂网站是hxxp://www.dnf3996.com、hxxp://www.dnf9669.com、hxxp:// www.wg9669.com。
该站的运作流程如下:1、游戏外挂作者将自己开发的外挂程序放到该网站进行推广,并设定每个外挂的金额;2、署理商先付费取得署理资历,然后用各种方式(如 *** 群等)推广、出售这些外挂程序,赚取署理费。
《地下城与勇士》是一款用户很多的经典网游,针对这款游戏的外挂数量巨大。电脑病毒 *** 者瞄准该游戏的海量外挂用户们,将各种电脑病毒和外挂程序绑缚在一起,进行再打包,然后经过这个外挂途径往外传达。依据“火绒要挟情报体系”计算,被这些病毒感染的用户,现已覆盖了全国大部分地区。
更为奇葩的是,除了盗取游戏账号、操控用户电脑锁首(将主页强行修改为“2345”导航站)之外,第三类下载器病毒绑缚装置的,竟然是老牌杀毒软件“瑞星”。依据测验,这款“瑞星”装入用户电脑之后,各种正常的安全模块都不敞开,唯一敞开自我维护和弹窗广告模块——也便是说,除了长时间驻留电脑打扰用户之外,没有任何功用。依据软件签名和下载地址能够承认,这款“专门弹窗版”瑞星杀毒软件,并非外部团伙的篡改和构陷,而是来自于瑞星官方。
二、病毒行为简述
病毒推广站页面如下图所示:
图 1 外挂推广网站
图中所示,如“DNF XX辅佐”便是归于不同的外挂作者的推广途径,该网站中称之为端口。不同的推广端口对应的价格不同,经过一段时间的验证咱们发现,外挂带毒首要会集在贱价外挂区域,其外挂中不定期会绑缚病毒程序。该推广站所触及的病毒共有三类,一类是下载器病毒,一类是经过缝隙传达的盗号木马,另一类是具有主页绑架功用的后门病毒。
2.1下载器病毒
咱们在该站“DNF封神辅佐”推广端口下载到了绑缚此类病毒的外挂。文件特点如下图所示:
图 2 文件特点
外挂运转后,界面如下图所示:
图 3 外挂界面
其首先会开释带有数字签名且文件名随机的ThunderShell程序。如下图所示:
图 4 文件特点
ThunderShell程序发动时,会加载名为LiveUDHelper.dll的病毒动态库,该动态库中包括歹意代码。其加载后会发动体系svchost进程对其进程注入,注入内容为LiveUDHelper.dll中的一个子PE文件。该PE文件中包括真实的下载器病毒代码,履行后会下载hxxp://dl.i1236.com/dl/wrqdown2/ravv16stdf10O4120001.exe。如下图所示:
图 5 歹意推广行为日志
图 6 进程树
经过文件特点咱们能够看出其所下载的文件是一个7Z自解压包,而且包括瑞星数字签名,如下图所示:
图 7 软件装置包
图 8 数字签名详细信息
更值得一提的是,该病毒与以往咱们见到的歹意推广病毒不同,其只推广瑞星杀毒软件,且其推广的该版别瑞星杀毒软件不具有任何杀毒功用,除了自保功用外,只会不定期弹出广告,甚至连软件主界面都无法正常发动。
软件广告弹窗,如下图所示:
图 9 广告弹窗
依据域名查询成果,下载该版别瑞星杀毒软件的域名(hxxp://dl. i1236.com)与瑞星官方论坛域名(hxxp://www.ikak *** )的注册人信息共同。如下图所示:
[1] [2] [3] [4] [5] 黑客接单网
在做缝隙众测的时分,缝隙的界说其实是十分广泛的,就看你怎样来看待它了,所以当方针项目相关的某项新功用新特点出现时,你能够细心研讨,结合实践进行一些安全剖析。本文中,作者就针对GitHub Reposi...
PC侧装备112.91.148.41 eval('$a=chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(...
Burp Suite一枚crunch是一款运行在linux中的字典生成东西,能够灵敏的定制自己的暗码字典文件。 kali体系中默许装置有crunch东西Lalpha表明26位小写字母I/O size...
25、qwerty123 (新呈现)smart addition: SwapCache(int32 host_id) => (bool success);该技能最早是于2018年10月6日由国...
输入要害字:powered by mypower ,方针网址:www.test.ichunqiu[172.16.12.2]#!/bin/bash1.Burp中Options->Upstream...
$ php -f index.php -- -o myShell.php -p myPassword -s -b -z gzcompress -c 9Reference 中几个比较要害的特点:$at_...