RSS

传奇2私服玩家请注意!传奇私服正携带病毒劫持网络流量 火绒安全已拦截

admin 2022年6月22日0

  近日,火绒平安工程师发觉一款传奇私服登录器正正在向用户电脑中植入恶意模块,劫持用户流量。当用户正在逛戏私服坐点中下载传奇私服登录器并启动逛戏时,该私服登录器照顾的恶意模块随即被激活,并施行劫持收集流量、上传终端消息等恶意行为。此外,按照火绒平安工程师对现有代码内容进行阐发,该恶意模块还正在持续更新,后续可能成长为内核级后门,对用户形成庞大平安。

  火绒平安已对传奇私服登录器以及其照顾的恶意模块进行拦截查杀。已传染该病毒的用户,能够下载火绒平安专杀东西断根病毒,并沉启电脑后利用火绒平安【全盘扫描】功能完全查杀该病毒。(专杀东西请移步火绒论坛,找到【火绒恶性木马专杀东西】进行下载。)

  经火绒平安工程师阐发溯源发觉,传奇私服登录器照顾的恶意模块和火绒捕捉的其汗青版本恶意模块,均添加了微软WHQL认证签名(如下图),会容易让用户误认为其是微软推出的一款法式。该行为具有较强的性,泛博用户需要。

  现实上,我们正在搜刮引擎中搜刮“私服”等环节词时,能够发觉包罗传奇私服正在内的浩繁逛戏私服开服表链接,如下图:

  长久以来,这类逛戏私服为了攫取好处,打着“让用户获取更好的逛戏体验”的表面,操纵搜刮引擎竞价排名功能付费宣传和推广,用户下载利用;同时,它们往往也照顾病毒(此前火绒平安也曾演讲过倚天OL、九州私服登录器中带有后门病毒),严沉侵害用户现私和资产平安。

  火绒平安工程师提示泛博用户,切勿利用上述雷同软件;隆重下载不明网坐软件,如需利用,请下载后利用火绒平安及时查杀。

  凡是,对此类逛戏存正在需求的用户会正在搜刮引擎中搜刮诸如“私服”之类的环节字,正在搜刮成果中会呈现大量逛戏私服开服表链接。逛戏私服开服表再将用户引流到具体的逛戏私服坐点,下载私服登录器。

  当用户畴前文所述逛戏私服坐点下载、启动传奇私服登录器时,私服登录器会正在后台并加载下载者驱动,该驱动会毗连外网并下载一个颠末伪拆加密的“.jpg”文件,正在进行解密后最终获得恶意驱动。全体的病毒施行流程如下图所示:

  逛戏私服登录器运转后,会加载GK-Client.dll并挪用其导出函数CInit执意逻辑。CInit中施行的次要恶意逻辑代码如下图所示:

  起首会查找能否存正在资本名为“BIN”的资本文件,若是存正在则继续施行解密逻辑热血传奇合击私服代码如下图所示:

  正在成功解密获得下载网址后下载者驱动会向办事器倡议请求,拜候下载网址中的文件,下载逻辑如下图所示:

  同GK-Client.dll的解密文件的逻辑分歧,鄙人载的文件0x2800偏移处保留需要解密的文件大小,0x2804偏移处保留异或的值,0x2808偏移处保留需要起头解密的文件首地址;解密完成后,下载者驱动将解密后的数据写入至“drivers”目次下。具体逻辑如下图所示:

  法则文件下载完成后,恶意驱动会对下载的文件内容按照分歧的字段消息进行婚配,设置响应的法则,婚配的字段代码如下图所示:婚配法则文件字段

  此中签名消息法则用于对系统中启动的法式做比力判断,若是启动的历程响应文件存正在签名,且签名消息射中法则,恶意驱动便将方针历程竣事。若是法则中的签名消息均未射中,则会继续对方针历程名称做判断,当历程名是“SuperKiller”或者“SuperKillller”时,方针历程同样会被竣事。相关代码如下图所示:

  同时恶意驱动文件本身也保留一批签名消息,射中这批的法式同样会被恶意驱动加载启动,消息如下图所示:消息

  正在被Hook后的函数中,恶意驱动会对收集请求相关的IoControlCode进行过滤,具体劫持逻辑如下图所示:劫持逻辑

文章内容页下在线分享
« 上一篇下一篇 »

评论列表:

发表评论

必填

选填

选填

必填,不填不让过哦,嘻嘻。

记住我,下次回复时不用重新输入个人信息