作者:admin发布时间:2021-09-24分类:传奇私服浏览:119评论:24
病毒样本浅析:(我们会继续深入分析此病毒,请期待详细分析篇)
该病毒整体逻辑如下图所示,受害者通过病毒推广网站下载”万千辅助”客户端,会同时下载”传奇通用变速器”,这几款软件皆携带病毒,在运行辅助客户端或者变速器时,会释放并加载,该病毒驱动负责锁定用户浏览器主页和劫持必应等网站流量,同时会同远程的CC服务器进行通信,获取更新和要执行的病毒策略。
A,劫持主页
该病毒每天会向远程CC服务器()获取要劫持的新主页网址,并且劫持用户浏览器主页,被劫持的浏览器列表如下:
首页被劫持为(包含但不仅限于,,)传奇私服入口,以及传奇辅助与各种加速器的推广页面。,劫持后主页如下图所示:
病毒会向CC服务器获取要替换的DNS配置,并替换本地DNS设置,并且会删除本地的文件,从而完全接管用户的D传奇私服 劫持流量NS服务。
C,劫持流量
D,云控
病毒作者在公共云服务器上面搭建CC服务器,将各种病毒需要的配置信息加密存储于此,(格式为#-START-#+加密配置+#-END-#),当病毒每次请求到所需的配置信息,就将其进行解密,然后执行。同时,病毒的更新也被配置于此。下图是病毒云控用到的一些链接与其对应的病毒功能:
与大部分Rootkit病毒一样,Strkon也做了驱动层的对抗,病毒驱动在加载的时候会劫持系统原有驱动tcpip.sys,将自己的对象名隐藏,从而躲避杀软的查杀。并且通过hookPsSetCreateProcessNotifyRoutine,PsSetCreateThreadNotifyRoutine,PsSetLoadImageNotifyRoutine,IoRegisterShutdownNotification,CmRegisterCallback等多处系统api,设置系统回调,使得该病毒的清除变得异常麻烦。
截至发帖,virustotal上面只有三家能检测出该病毒。
总结
游戏外挂是病毒传播的一个主要渠道,在国内外挂横行的氛围里,要找一款清新脱俗,功能牛逼的外挂真的好难,但是外挂真的能给游戏带来乐趣吗?外挂只会使得玩家的心灵变得扭曲,使得游戏本身缺乏公平性,同时大多数外挂会携带病毒木马,在无声无息直间威胁到你的信息安全,所以我们也提醒各位游戏玩家,要合理公平的进行游戏。
*本文作者:0zapt4toM,转载请注明来自FreeBuf.COM
已有24位网友发表了看法: