新开的传奇sf网站(又一款传奇私服利用Rootkit病毒进行推广)
• 传奇游戏指南
近日,火绒收到多位用户反馈,电脑频繁报毒、网页被劫持等问题,经排查发现是传奇私服捆绑Rootkit病毒导致。该病毒通过篡改用户流量来推广自己的传奇私服,不仅使用多种对抗手段,还伪装成系统驱动等来隐藏自身,对用户构成较大的威胁。
用户登录传奇私服客户端后,该病毒会通过黑加白文件释放 Loader 驱动,再通过 Loader 驱动来下载、加载劫持驱动,以拦截杀毒软件驱动和专杀工具的进程。随后,其会根据C&C服务器配置信息来修改受害者电脑代理、DNS等系统设置,使用户访问传奇相关的网页时,跳转到指定传奇私服。该病毒执行流程,如下图所示:
病毒的执行流程图
病毒的执行流程图
目前,火绒安全产品可对上述病毒进行拦截查杀。已感染该病毒的用户,可先使用火绒专杀工具进行扫描,再使用火绒【系统修复】和【全盘查杀】功能,重启电脑后即可彻底清除该病毒。
查杀图
查杀图
一、样本分析
当传奇私服启动一段时间后,会通过释放出黑加白文件的方式来绕过杀毒软件查杀,火绒剑监控到的行为,如下图所示:
火绒剑监控到的行为
火绒剑监控到的行为
BugRpt.DLL启动后,会创建一个线程循环尝试寻找360卫士关闭窗口的位置,通过模拟鼠标点击来关闭360卫士,相关代码,如下图所示:
关闭360卫士
关闭360卫士
之后BugRpt.DLL释放Loader驱动,通过Loader驱动来下载、加载Rootkit病毒,相关代码,如下图所示:
下载、加载Loader驱动
下载、加载Loader驱动
在Loader驱动中,会从C&C服务器下载、加载Rootkit病毒,相关代码,如下图所示:
该Rootkit病毒会根据C&C服务器配置信息来修改受害者电脑代理、DNS等系统设置,当用户访问传奇相关的网页时,会被劫持到病毒作者指定传奇私服,并且该病毒使用VMProtect保护壳进行加密,以及多种内核对抗手段来拦截杀毒软件进程和驱动。该Rootkit病毒启动后,会添加模块加载回调函数和进程加载回调函数来拦截杀毒软件的驱动和进程。 相关代码,如下图所示:
添加模块加载回调函数和进程加载回调函数
添加模块加载回调函数和进程加载回调函数
在模块加载回调函数中会计算驱动文件的签名以及MD5,如果为相关杀毒软件的驱动,就会阻止杀毒软件驱动的加载,相关代码,如下图所示:
模块加载回调函数中拦截驱动
模块加载回调函数中拦截驱动
会被拦截的驱动签名列表,其中一些看起来像是人名,如下图所示:
会被拦截的驱动签名
会被拦截的驱动签名
在进程加载回调函数中通过匹配进程名以及MD5来终止专杀工具进程,相关代码,如下图所示:
传奇登录器被防火墙屏蔽(传奇登录器提示连接服务器失败是怎么回
上一篇 2024年04月17日
苹果手游传奇发布网官网(游戏早报:网传Bungie与网易合作
下一篇 2024年04月29日
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 88888888@qq.com 举报,一经查实,本站将立刻删除。