本
文
摘
要
导读:近日,国内知名安全团队发现一款名为爱玩宝传奇盒子的传奇私服登录器正在向用户电脑中植入病毒。黑客可通过C&C服务器控制受害终端下载、执行任意恶意代码,大家谨慎下载。
病毒为什么钟爱于私服游戏
传奇私服,是私服的一小类,由热血传奇发展而来,虽然是违规,但还是阻挡不住情怀玩家的热情,因为它的优点却是太多,首先是完全免费可以进入游戏,不需要充值点卡及其它费用,而且升级速度相比热血传奇容易很多,装备也更好打。
所以从第一个传奇私服到现在,已经上十载,却经久不衰,仍然有不少的玩家比较钟意传奇私服,但是往往就忽视了它的软件安全。
病毒的威胁
近日,火绒安全实验室就发现一款名为爱玩宝传奇盒子的传奇私服登录器正在向用户电脑中植入病毒。黑客可通过C&C服务器控制受害终端下载、执行任意恶意代码,恶意代码功能包括:阻止安全软件驱动正常加载,定期弹出广告窗口功能。此外,我们通过对相关威胁数据的追踪发现,该恶意模块还在持续更新,不排除黑客下发更具威胁的恶意代码到用户本地执行的可能性。
C&C服务器是由攻击者的计算机将命令发送到受恶意软件入侵的系统,并从目标网络接收被盗的数据。值得一提,现在已经发现许多c&c服务器为IDC服务器以及使用基于云的服务,例如网络邮件和文件共享服务,因为C&C服务器可以与正常流量融合在一起并避免被检测到。
病毒分析,推送恶意广告
爱玩宝传奇盒子安装程序名为csrss.exe(与系统文件同名),在用户完成安装后会释放两个恶意模块Advertisement.exe和KQ6k707bwC0I.exe。其中Advertisement.exe启动后会在后台静默运行,定期弹出广告。通过分析代码,发现程序带有日志功能,默认处于关闭状态。日志功能开启后,可以看到该恶意模块与C&C服务器的通讯过程,但在我们分析过程中服务器未返回有效的广告信息。日志信息及相关代码逻辑信息,如下图所示:
代码逻辑
日志信息截图:
日志信息截图
KQ6k707bwC0I.exe会释放Fsfilter.sys恶意驱动模块,该模块会与C&C服务器通信下载、执行任意恶意模块。 驱动数字签名,如下图所示:
驱动数字签名
该模块从C&C服务器上获取更新模块(update.exe),相关日志信息,如下图所示:
更新模块
更新模块启动后会释放出相关恶意驱动模块,相关行为信息,如下图所示:
释放恶意驱动模块
该恶意驱动模块通过注册系统回调函数,阻碍专杀工具驱动正常加载,火绒剑拦截到相关行为信息,如下图所示:
火绒剑拦截到相关行为信息
卸载过程复杂繁琐
该软件卸载流程非常繁琐,障碍用户正常卸载,首先需要填写至少20字的卸载理由并且必须填写QQ号码等联系方式,卸载完成之后发现恶意驱动会继续常驻用户系统执行恶意行为。如下图所示:
卸载过程复杂
卸载复杂
显示卸载完成后,恶意驱动会继续常驻用户系统执行恶意行为。如下图所示:
卸载后驱动模块加载情况
恶意软件追溯
根据恶意驱动的数字签名溯源到相关公司的信息,如下图所示:
玩私服的风险评估
玩私服虽然优点很多,但是风险极大,很容易人财两空追悔莫及。为什么这么说呢?
首先私服制作者可以为所欲为。在私服游戏当中,不法分子们完全凭自己的喜好操控一切,一旦心血来潮,立即会对数据进行随意修改,导致其中的玩家得不到任何公平及游戏性的保障,游戏过程自然也没有乐趣可言。
其次是私服随时可能会关服。私服本就是一件违法的行为,当受到打击和惩罚时,永久关服就成为了必然的结果,玩家的投入将会血本无归,看着自己的时间和金钱打了水漂,届时再后悔就为时已晚了!
最后是盗号风险大,极容易中木马病毒。很多不法分子会打着私服的旗号,实则为了传播盗号病毒,当大家在下载这些所谓“私服程序”的同时,电脑很可能被病毒感染,从而导致被盗号、个人信息被盗用等严重的风险!