近期,我们测量到一款名为“万千辅助”的传奇外挂(官网:hxxp://),携带恶意病毒驱动,我们将该病毒命名为Strkon,该病毒通过绑架用户浏览器主页和各大网站流量,从而谋取暴利。
传播途径
其官网提供收费版和免费版两个版本的辅助程序,并且与一款名为“传奇通用变速器”(官网:hxxp://)的程序捆绑下载,这几款软件中均携带Strkon病毒。
我们在官网还找到了推广的QQ群(172723801),群内有管理人员定期推广新的辅助下载地址和更新方法“万千辅助”传奇外挂(官网:hxxp://) ,以下是我们跟进此病毒以来所涉及到的拿来推广的域名和QQ群。
病毒样本探讨:(我们会继续深入剖析此病毒,请期盼详尽剖析篇)
该病毒整体逻辑如下图所示,受害者通过病毒推广网站下载”万千辅助”客户端,会同时下载”传奇通用变速器”,这几款软件皆携带Strkon病毒,在运行辅助客户端或则变速器时传奇外挂病毒,会释放Strkon并加载传奇外挂病毒,该病毒驱动负责锁定用户浏览器主页和绑架必应等网站流量,同时会同远程的C&C服务器进行通讯,获取更新和要执行的病毒策略。
Strkon(SHA1:93ec2e1f0cbe7f64c8ef3b8b17257bc9e49e2085)文件属性如下:
A,劫持主页
该病毒每晚会向远程C&C服务器()获取要绑架的新主页网址,并且绑架用户浏览器主页,被绑架的浏览器列表如下:
首页被胁持为(包含但除了限于 )传奇私服入口,以及传奇辅助与各类加速器的推广页面。,劫持后主页如下图所示:
B,劫持DNS
病毒会向C&C服务器获取要替换的DNS配置,并替换本地DNS设置,并且会删掉本地的hosts文件,从而完全接管用户的DNS服务。
C,劫持流量
我们发觉该病毒会绑架如下各大网站的流量
D,云控
病毒作者在公共云服务器里面搭建C&C服务器,将各类病毒须要的配置信息加密储存于此,(格式为#-START-#+加密配置+#-END-#),当病毒每次恳求到所需的配置信息,就将其进行揭秘,然后执行。同时,病毒的更新也被配置于此。下图是病毒云控用到的一些链接与其对应的病毒功能:
E,驱动对抗
与大部分Rootkit病毒一样,Strkon也做了驱动层的对抗,病毒驱动在加载的时侯会绑架系统原有驱动tcpip.sys,将自己的对象名隐藏,从而躲避杀软的查杀。并且通过hook PsSetCreateProcessNotifyRoutine, PsSetCreateThreadNotifyRoutine,PsSetLoadImageNotifyRoutine,IoRegisterShutdownNotification,CmRegisterCallback等多处系统api,设置系统反弹,使得该病毒的清理显得异常麻烦。
截至发贴,virustotal里面只有三家能测量出该病毒。
总结
游戏外挂是病毒传播的一个主要渠道,在国外外挂横行的气氛里,要找一款甜美端庄,功能牛逼的外挂真的好难,但是外挂真的能给游戏带来乐趣吗?外挂只会促使玩家的心灵显得扭曲,使得游戏本身缺少公平性,同时大多数外挂会携带病毒木马,在无声无息直间恐吓到你的信息安全,所以我们也提醒诸位游戏玩家,要合理公正的进行游戏。
文章中涉及到的样本
(责任编辑:admin)
|
||||||||
| ★★★★★★★ | ★★★★★★★ | ★★★★ | ★★★★ | ★★★★★★★★★★★★★★★★- ★★ | ★★★★★★ | ★★★★★★★★ | ||