一款关于病毒传染的游戏(又一款游戏登录器正
时间:2022-11-24 21:08 来源:网络整理 作者:采集插件 点击:次
导读:近日,国内知名安全团队发现一款名为爱玩宝传奇盒子的传奇私服登录器正在向用户电脑中植入病毒。黑客可通过C&C服务器控制受害终端下载、执行任意恶意代码,大家谨慎下载。 病毒为什么钟爱于私服游戏传奇私服,是私服的一小类,由热血传奇发展而来,虽然是违规,但还是阻挡不住情怀玩家的热情,因为它的优点却是太多,首先是完全免费可以进入游戏,不需要充值点卡及其它费用,而且升级速度相比热血传奇容易很多,装备也更好打。
所以从第一个传奇私服到现在,已经上十载,却经久不衰,仍然有不少的玩家比较钟意传奇私服,但是往往就忽视了它的软件安全。 病毒的威胁近日,火绒安全实验室就发现一款名为爱玩宝传奇盒子的传奇私服登录器正在向用户电脑中植入病毒。黑客可通过C&C服务器控制受害终端下载、执行任意恶意代码,恶意代码功能包括:阻止安全软件驱动正常加载,定期弹出广告窗口功能。此外,我们通过对相关威胁数据的追踪发现,该恶意模块还在持续更新,不排除黑客下发更具威胁的恶意代码到用户本地执行的可能性。
C&C服务器是由攻击者的计算机将命令发送到受恶意软件入侵的系统,并从目标网络接收被盗的数据。值得一提,现在已经发现许多c&c服务器为IDC服务器以及使用基于云的服务,例如网络邮件和文件共享服务,因为C&C服务器可以与正常流量融合在一起并避免被检测到。 病毒分析,推送恶意广告爱玩宝传奇盒子安装程序名为csrss.exe(与系统文件同名),在用户完成安装后会释放两个恶意模块Advertisement.exe和KQ6k707bwC0I.exe。其中Advertisement.exe启动后会在后台静默运行,定期弹出广告。通过分析代码,发现程序带有日志功能,默认处于关闭状态。日志功能开启后,可以看到该恶意模块与C&C服务器的通讯过程,但在我们分析过程中服务器未返回有效的广告信息。日志信息及相关代码逻辑信息,如下图所示:
代码逻辑 日志信息截图:
日志信息截图 KQ6k707bwC0I.exe会释放Fsfilter.sys恶意驱动模块,该模块会与C&C服务器通信下载、执行任意恶意模块。 驱动数字签名,如下图所示:
驱动数字签名 该模块从C&C服务器上获取更新模块(update.exe),相关日志信息,如下图所示:
更新模块 更新模块启动后会释放出相关恶意驱动模块,相关行为信息,如下图所示:
释放恶意驱动模块 该恶意驱动模块通过注册系统回调函数,阻碍专杀工具驱动正常加载,火绒剑拦截到相关行为信息,如下图所示:
火绒剑拦截到相关行为信息 卸载过程复杂繁琐该软件卸载流程非常繁琐,障碍用户正常卸载,首先需要填写至少20字的卸载理由并且必须填写QQ号码等联系方式,卸载完成之后发现恶意驱动会继续常驻用户系统执行恶意行为。如下图所示: (责任编辑:admin) |
- 上一篇:福利速递很好看
- 下一篇:英国19岁黑客天才落网