游戏列表 | 文章列表 | 下载中心 | 加入收藏
我本沉默权威发布网
3qsf.com
 
wbcm
3qsf.com
传奇sf外挂携带恶意病毒Strkon,劫持用户主页及流量
文章作者:admin 文章来源:3Q搜服网,3qsf.com 更新时间:2018-4-10
  近期,0zapt4toM检测到一款名为“万千辅助”的传奇外挂(官网:hxxp://www.wanqianfz.com),携带恶意病毒驱动,我们将该病毒命名为Strkon,该病毒通过劫持用户浏览器主页和各大网站流量,从而牟取暴利。

传播途径
其官网提供收费版和免费版两个版本的辅助程序,并且与一款名为“传奇通用变速器”(官网:hxxp://www.xinbiansu.com)的程序捆绑下载,这几款软件中均携带Strkon病毒。

我们在官网还找到了推广的QQ群(172723801),群内有管理人员定期推广新的辅助下载地址和更新方式,此病毒以来所涉及到的用来推广的域名和QQ群。


病毒样本浅析:(我们会继续深入分析此病毒,请期待详细分析篇)
该病毒整体逻辑如下图所示,受害者通过病毒推广网站下载”万千辅助”客户端,会同时下载”传奇通用变速器”,这几款软件皆携带Strkon病毒,在运行辅助客户端或者变速器时,会释放Strkon并加载,该病毒驱动负责锁定用户浏览器主页和劫持必应等网站流量,同时会同远程的C&C服务器进行通信,获取更新和要执行的病毒策略。

Strkon(SHA1:93ec2e1f0cbe7f64c8ef3b8b17257bc9e49e2085)文件属性如下:

A,劫持主页
该病毒每天会向远程C&C服务器(http://xxxx.com/yun2016/xinzhuye.txt)获取要劫持的新主页网址,并且劫持用户浏览器主页,被劫持的浏览器列表如下:


首页被劫持为(包含但不仅限于 www.szsplw.com, www.snwcct.com,www.gyajzx.com)传奇私服入口,以及传奇辅助与各种加速器的推广页面。,劫持后主页如下图所示:


B,劫持DNS 
病毒会向C&C服务器获取要替换的DNS配置,并替换本地DNS设置,并且会删除本地的hosts文件,从而完全接管用户的DNS服务。

C,劫持流量
我们发现该病毒会劫持如下各大网站的流量

D,云控
病毒作者在公共云服务器上面搭建C&C服务器,将各种病毒需要的配置信息加密存储于此,(格式为#-START-#+加密配置+#-END-#),当病毒每次请求到所需的配置信息,就将其进行解密,然后执行。同时,病毒的更新也被配置于此。下图是病毒云控用到的一些链接与其对应的病毒功能:


E,驱动对抗
与大部分Rootkit病毒一样,Strkon也做了驱动层的对抗,病毒驱动在加载的时候会劫持系统原有驱动tcpip.sys,将自己的对象名隐藏,从而躲避杀软的查杀。并且通过hook PsSetCreateProcessNotifyRoutine, PsSetCreateThreadNotifyRoutine,PsSetLoadImageNotifyRoutine,IoRegisterShutdownNotification,CmRegisterCallback等多处系统api,设置系统回调,使得该病毒的清除变得异常麻烦。

截至发帖,virustotal上面只有三家能检测出该病毒。

总结
游戏外挂是病毒传播的一个主要渠道,在国内外挂横行的氛围里,要找一款清新脱俗,功能牛逼的外挂真的好难,但是外挂真的能给游戏带来乐趣吗?外挂只会使得玩家的心灵变得扭曲,使得游戏本身缺乏公平性,同时大多数外挂会携带病毒木马,在无声无息直间威胁到你的信息安全,所以我们也提醒各位游戏玩家,要合理公平的进行游戏。
·上一篇;网安百区将于3月24日开放沙巴克攻城战 浏览次数:
最新文章

当前没有热门文章

热门文章
· 网安百区将于3月24日开放沙巴克
· 屠龙百区火龙蛮荒阶段装备回收规则
· 屠龙在线 网安百区将于下周六(2
· 传奇亲爹维权来了,韩国娱美德委任
· 秋风传奇fengcq游戏介绍
· 新屠龙一区凤凰月涯天地门游戏内容
· 万州传奇14区新版2017年5月
· 活动还在继续 屠龙在线五一活动公
· 网安传奇暂缓合区公告和战场区开放
· 网安传奇屠龙在线最新游戏更新和春
Copyright 2010-2013 3QSF.COM(3Q搜服) All Rights Reserved
建议使用ie6.0以上版本进行浏览,请使用1024*768分辨率浏览本站以达到最佳视觉效果