设为首页收藏本站
切换到窄版

乐欧游戏网

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
乐欧游戏网»论坛 乐欧游戏网 传奇 传奇私服暗藏病毒劫持用户流量
123下一页
返回列表 发新帖
查看: 160|回复: 22

传奇私服暗藏病毒劫持用户流量

[复制链接]
人狼传说

4

主题

5

帖子

13

积分

新手上路

Rank: 1

积分
13
发表于 2022-12-17 21:01:42 | 显示全部楼层 |阅读模式
近日,火绒安全工程师拦截到一款病毒正通过某传奇私服登录器进行传播。
该病毒可通过C&C服务器下发任意恶意模块,还会将病毒服务器设置为代理服务器,通过篡改用户流量来推广病毒作者自家的传奇私服。当用户访问传奇相关的网页时,会被劫持到病毒作者自家传奇私服,如下图所示:



病毒作者自家传奇私服

火绒安全工程师分析称,该病毒可通过C&C服务器下发任意恶意模块,不排除后续下发其他恶意模块的可能。 被下发的恶意模块将长期驻留在中毒用户电脑中,并开机自启动,利用“白加黑”调用恶意代码模块以及注入系统进程的方式来执行恶意行为。
广大游戏玩家需要注意,私服登录器携带木马、后门及其他病毒的情况时有发生,玩家下载安装后,可能面临网页被劫持、个人隐私数据泄露等不同危害,严重侵害用户隐私和资产安全。因此,火绒工程师提醒广大玩家提高警惕。
火绒安全产品可对以下传奇私服登录器携带的该病毒进行拦截查杀:



被植入该病毒的传奇私服登录器列表



病毒查杀图

病毒的执行流程,如下图所示:



病毒执行流程

以“梁山好汉=登陆器”为例进行分析:

一、样本分析

当进入游戏后,会释放并执行恶意模块 QQExternals.exe,火绒剑监控到的行为图,如下图所示:



火绒剑监控到的行为图

恶意模块QQExternals.exe会根据配置文件来加载远程恶意模块InstallCore.dll,相关代码,如下图所示:



远程加载恶意模块InstallCore.dll

恶意模块InstallCore.dll会释放QQExternal.exe(和第一个恶意模块相比少了一个s)和BugRpt.dll到C:\ProgramData\Microsoft\Setup\,其中 QQExternal.exe为带有腾讯签名的白文件,该病毒通过“白加黑”的方式来绕过杀毒软件查杀。QQExternal.exe签名信息,如下图所示:



QQExternal.exe签名信息

BugRpt.dll恶意模块的签名信息直接复制QQExternal.exe签名信息来进行伪装,如下图所示:



BugRpt.dll签名信息

恶意模块InstallCore.dll还会执行一系列操作来保证后续的恶意模块能正确被执行,如:添加证书、设置浏览器代理、持久化操作,相关代码,如下图所示:



添加证书、设置浏览器代理、持久化操作

修改后的浏览器的配置信息,如下图所示:



修改后的浏览器配置信息

被添加的任务计划,如下图所示:



被添加的任务计划

利用服务启动白名单文件QQExternal.exe,再以“白加黑“的方式加载BugRpt.dll来执行恶意代码,相关代码,如下图所示:



通过服务启动QQExternal.exe

BugRpt.dll是以“白加黑“的形式被加载运行,当BugRpt.dll同目录下的QQExternal.exe(白文件)被运行时,会调用其导出函数“BR_UserInit”。相关代码,如下图所示:



调用被劫持的函数

当BR_UserInit函数运行后会解密自身内部的”Puppet.dll”恶意模块并注入到系统进程WmiPrvSE中,相关代码,如下图所示:



注入WmiPrvSE

在恶意模块Puppet.dll中,根据服务器的配置来执行恶意模块PuppetLib.dll,相关代码,如下图所示:



加载远程恶意模块PuppetLib.dll

在恶意模块PuppetLib.dll中,防止证书被删除,每次启动都会检查证书是否存在,如果证书不存在,将重新添加证书,相关代码,如下图所示:



添加证书

并且一直循环修改浏览器的代理设置,相关代码,如下图所示:



修改浏览器代理

修改后的浏览器设置,如下图所示:



修改后的浏览器设置

被劫持的域名均为其他传奇私服站点域名,当用户访问相关传奇私服时,会被劫持到107.148.49.141,该地址用来中转到病毒作者自家传奇私服,相关代理脚本,如下图所示:



相关代理脚本

二、附录

C&C:


样本hash:

回复

使用道具 举报

山东你大爷

2

主题

5

帖子

9

积分

新手上路

Rank: 1

积分
9
发表于 2022-12-17 21:01:54 | 显示全部楼层
问题是家父不听啊,关了火绒接着打[笑哭]
回复

使用道具 举报

洋扬羊林

2

主题

7

帖子

11

积分

新手上路

Rank: 1

积分
11
发表于 2022-12-17 21:02:41 | 显示全部楼层
不如拿这份报告和令父聊聊?
回复

使用道具 举报

季宪梅

0

主题

2

帖子

0

积分

新手上路

Rank: 1

积分
0
发表于 2022-12-17 21:03:01 | 显示全部楼层
那要怎么清除呢?我就是玩私服中了这样的毒,火绒360都杀不了,重新启动又在!每次打开私服它就自动跳到一个固定的私服网页,其他都还好[捂脸]
回复

使用道具 举报

山河臻阳光

3

主题

6

帖子

13

积分

新手上路

Rank: 1

积分
13
发表于 2022-12-17 21:03:12 | 显示全部楼层
一般还是重装系统吧,玩这种东西还是搞个沙盒虚拟机之类的,让病毒在里面随便闹
回复

使用道具 举报

荆山之阳

3

主题

5

帖子

12

积分

新手上路

Rank: 1

积分
12
发表于 2022-12-17 21:03:48 | 显示全部楼层
建议EXXX加火绒双持
回复

使用道具 举报

停不了的灵气

1

主题

6

帖子

9

积分

新手上路

Rank: 1

积分
9
发表于 2022-12-17 21:04:22 | 显示全部楼层
您好,您可以使用火绒的专杀工具扫描下,然后重启电脑,使用火绒全盘查杀对再次扫描即可。( 专杀工具下载地址:http://bbs.huorong.cn/thread-18575-1-1.html)
回复

使用道具 举报

高菜

3

主题

9

帖子

17

积分

新手上路

Rank: 1

积分
17
发表于 2022-12-17 21:04:57 | 显示全部楼层
这个病毒为什么会有tx的签名[好奇]
回复

使用道具 举报

风舞天涯

3

主题

7

帖子

14

积分

新手上路

Rank: 1

积分
14
发表于 2022-12-17 21:05:06 | 显示全部楼层
我火绒论坛求救 工程师也处理不了这情况呀 [生气]
回复

使用道具 举报

世界安静了

2

主题

5

帖子

10

积分

新手上路

Rank: 1

积分
10
发表于 2022-12-17 21:06:06 | 显示全部楼层
相关代码是反编译得到的吗
回复

使用道具 举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|乐欧游戏网

GMT+8, 2025-4-20 15:10 , Processed in 0.506143 second(s), 23 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表