设为首页
收藏本站
【金币充值】
【VIP特惠大礼包】
开启辅助访问
每日签到领金币
免费列表上传空间
登录
立即注册
首页
首页
论坛
版块交流专区
传奇版本
传奇版本下载
传奇素材
传奇素材下载
手游版本
手游传奇版本下载
传奇学院
传奇技术学习
工具
传奇工具下载
教程
传奇视频教程
搜索
搜索
单职业版本大全
1.76复古版本大全
1.80复古版本大全
英雄合击版本大全
我本沉默版本大全
暗黑修仙版本大全
轻微中变版本大全
火龙传奇版本大全
传奇引擎程序下载
传奇登录器配置器
传奇客户端下载
新手问答专区
传奇脚本专区
传奇技术分享
每日签到
视频教程
技术教程
手游版本
端游版本
新手问答
引擎知识
传奇脚本
特效素材
武器素材
衣服素材
首饰素材
怪物素材
地图素材
NPC素材
火龙版本
单职业版
1.76版本
1.80版本
我本沉默
1.80合击
暗黑修仙
补丁修改
DBC2000
pak修改
爆率修改器
漏洞检测器
变量检测
数据库工具
本版
文章
帖子
他也玩传奇
»
论坛
›
传奇综合区
›
传奇百科
›
传奇私服暗藏病毒劫持用户流量
返回列表
发新帖
传奇私服暗藏病毒劫持用户流量
[复制链接]
2599
|
0
|
2022-12-12 19:59:30
|
显示全部楼层
|
阅读模式
近日,火绒安全工程师拦截到一款病毒正通过某传奇私服登录器进行传播。
该病毒可通过C&C服务器下发任意恶意模块,还会将病毒服务器设置为代理服务器,通过篡改用户流量来推广病毒作者自家的传奇私服。当用户访问传奇相关的网页时,会被劫持到病毒作者自家传奇私服,如下图所示:
病毒作者自家传奇私服
火绒安全工程师分析称,该病毒可通过C&C服务器下发任意恶意模块,不排除后续下发其他恶意模块的可能。 被下发的恶意模块将长期驻留在中毒用户电脑中,并开机自启动,利用“白加黑”调用恶意代码模块以及注入系统进程的方式来执行恶意行为。
广大游戏玩家需要注意,私服登录器携带木马、后门及其他病毒的情况时有发生,玩家下载安装后,可能面临网页被劫持、个人隐私数据泄露等不同危害,严峻侵害用户隐私和资产安全。因此,火绒工程师提醒广大玩家提高警惕。
火绒安全产品可对以下传奇私服登录器携带的该病毒进行拦截查杀:
被植入该病毒的传奇私服登录器列表
病毒查杀图
病毒的执行流程,如下图所示:
病毒执行流程
以“梁山好汉=登陆器”为例进行分析:
一、样本分析
当进入游戏后,会释放并执行恶意模块 QQExternals.exe,火绒剑监控到的行为图,如下图所示:
火绒剑监控到的行为图
恶意模块QQExternals.exe会根据配置文件来加载远程恶意模块InstallCore.dll,相关代码,如下图所示:
远程加载恶意模块InstallCore.dll
恶意模块InstallCore.dll会释放QQExternal.exe(和第一个恶意模块相比少了一个s)和BugRpt.dll到C:\ProgramData\Microsoft\Setup\,其中 QQExternal.exe为带有腾讯签名的白文件,该病毒通过“白加黑”的方式来绕过杀毒软件查杀。QQExternal.exe签名信息,如下图所示:
QQExternal.exe签名信息
BugRpt.dll恶意模块的签名信息直接复制QQExternal.exe签名信息来进行伪装,如下图所示:
BugRpt.dll签名信息
恶意模块InstallCore.dll还会执行一系列操作来保证后续的恶意模块能正确被执行,如:添加证书、设置扫瞄器代理、持久化操作,相关代码,如下图所示:
添加证书、设置扫瞄器代理、持久化操作
修改后的扫瞄器的配置信息,如下图所示:
修改后的扫瞄器配置信息
被添加的任务计划,如下图所示:
被添加的任务计划
利用服务启动白名单文件QQExternal.exe,再以“白加黑“的方式加载BugRpt.dll来执行恶意代码,相关代码,如下图所示:
通过服务启动QQExternal.exe
BugRpt.dll是以“白加黑“的形式被加载运行,当BugRpt.dll同目录下的QQExternal.exe(白文件)被运行时,会调用其导出函数“BR_UserInit”。相关代码,如下图所示:
调用被劫持的函数
当BR_UserInit函数运行后会解密自身内部的”Puppet.dll”恶意模块并注入到系统进程WmiPrvSE中,相关代码,如下图所示:
注入WmiPrvSE
在恶意模块Puppet.dll中,根据服务器的配置来执行恶意模块PuppetLib.dll,相关代码,如下图所示:
加载远程恶意模块PuppetLib.dll
在恶意模块PuppetLib.dll中,防止证书被删除,每次启动都会检查证书是否存在,如果证书不存在,将重新添加证书,相关代码,如下图所示:
添加证书
并且一直循环修改扫瞄器的代理设置,相关代码,如下图所示:
修改扫瞄器代理
修改后的扫瞄器设置,如下图所示:
修改后的扫瞄器设置
被劫持的域名均为其他传奇私服站点域名,当用户访问相关传奇私服时,会被劫持到107.148.49.141,该地址用来中转到病毒作者自家传奇私服,相关代理脚本,如下图所示:
相关代理脚本
二、附录
C&C:
样本hash:
上一篇:
热血传奇:那些后期逆天的终结技能,一招就能秒掉对手实在太解压
下一篇:
热血传奇:烈焰殿后面的雷霆之路,你还知道走嘛?
回复
举报
返回列表
发新帖
懒得打字嘛,点击右侧快捷回复
选择快捷回复
站长发贴辛苦了,谢谢站长分享!
站长太厉害了!站长,这个传奇资源找了好久了!
这个帖子不回对不起自己!
这东西我收了!谢谢站长!
我看不错噢 谢谢站长!
这个东西找了好久,终于找到了!
其实我一直觉得站长的品味不错!呵呵!
感谢站长的无私分享!
站长,大恩不言谢了!
站长,我太崇拜你了!
论坛不能没有像站长这样的人才啊!
快捷回复框
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
levin2008
291
主题
169
回帖
751
积分
常驻会员Lv4
常驻会员Lv4, 积分 751, 距离下一级还需 249 积分
常驻会员Lv4, 积分 751, 距离下一级还需 249 积分
积分
751
加好友
发消息
回复楼主
返回列表
广告推广
骗子揭发
传奇百科
传奇漏洞
传奇一条龙
资源共享区
传奇版本推荐
酒城网络倾城九头精怪单职业传奇版本-专属神器攻速无限刀-大陆探索
前天 17:04
1.76梁山合击复古版传奇服务端-装备升级-古月仙人-技能升级
2023-12-24
1.80舞魂火龙三职业传奇服务端 复古小极品版本
2023-04-25
1.80忠义金币合击传奇服务端-沙城捐献-装备好爆-地图多-BOOS多
2020-03-10
永恒传奇1.76复古无限刀攻速小极品版本
2023-04-25
热门排行
1
传奇MOV命令使用说明代码方法
2
传奇SMALL和LARGE命令使用说明方法
3
传奇 检测夫妻一方是否在XXX地图脚本
4
传奇检查装备升级次数脚本
5
传奇检查自己是不是别人的徒弟脚本
6
他也玩传奇GM论坛免费领金币2024年9月12日签到记录贴
7
传奇 检测此玩家是否有师傅脚本
8
传奇检测对面是否为自己的徒弟脚本
9
传奇检查人物的妻子或丈夫是否在线上代码
10
GEE引擎M2配套程序包20220501版全套下载