欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

游戏外挂网站暗藏病毒:盗号、锁首等数种危害并举

来源:本站整理 作者:佚名 时间:2017-05-03 TAG: 我要投稿

一、综述
近期,火绒安全团队截获一批捆绑在《地下城与勇士》游戏外挂上的首页劫持病毒。根据技术分析追溯,我们确定这些病毒的主要传播源是一个游戏外挂网站,进而发现,这个外挂站是一个巨大的“病毒窝点”,传播的电脑病毒种类之多、数量之大,令人惊讶。
总体说来,该网站暗藏三类病毒,一类是游戏用户深恶痛绝的盗号木马,二类是控制用户电脑,劫持首页的后门病毒,三类是强制捆绑安装软件的下载器病毒。该网站的用户会被随机感染数种病毒,电脑受到持久的多重侵害和骚扰。
这个游戏外挂网站是hxxp://www.dnf3996.com、hxxp://www.dnf9669.com、hxxp:// www.wg9669.com。
该站的运作流程如下:1、游戏外挂作者将自己开发的外挂程序放到该网站进行推广,并设定每个外挂的金额;2、代理商先付费获得代理资格,然后用各种方式(如QQ群等)推广、销售这些外挂程序,赚取代理费。
《地下城与勇士》是一款用户众多的经典网游,针对这款游戏的外挂数量巨大。电脑病毒制作者瞄准该游戏的海量外挂用户们,将各种电脑病毒和外挂程序捆绑在一起,进行再打包,然后通过这个外挂平台往外传播。根据“火绒威胁情报系统”统计,被这些病毒感染的用户,已经覆盖了全国大部分地区。
更为奇葩的是,除了盗取游戏账号、控制用户电脑锁首(将首页强行修改为“2345”导航站)之外,第三类下载器病毒捆绑安装的,竟然是老牌杀毒软件“瑞星”。根据测试,这款“瑞星”装入用户电脑之后,各种正常的安全模块都不开启,唯独开启自我保护和弹窗广告模块——也就是说,除了长期驻留电脑骚扰用户之外,没有任何功能。根据软件签名和下载地址可以确认,这款“专门弹窗版”瑞星杀毒软件,并非外部团伙的篡改和构陷,而是来自于瑞星官方。
二、病毒行为简述
病毒推广站页面如下图所示:

 
图 1 外挂推广网站
图中所示,如“DNF XX辅助”就是属于不同的外挂作者的推广渠道,该网站中称之为端口。不同的推广端口对应的价格不同,经过一段时间的验证我们发现,外挂带毒主要集中在低价外挂区域,其外挂中不定期会捆绑病毒程序。该推广站所涉及的病毒共有三类,一类是下载器病毒,一类是通过漏洞传播的盗号木马,另一类是具有首页劫持功能的后门病毒。
2.1下载器病毒
我们在该站“DNF封神辅助”推广端口下载到了捆绑此类病毒的外挂。文件属性如下图所示:

 
图 2 文件属性
外挂运行后,界面如下图所示:

 
图 3 外挂界面
其首先会释放带有数字签名且文件名随机的ThunderShell程序。如下图所示:

图 4 文件属性
ThunderShell程序启动时,会加载名为LiveUDHelper.dll的病毒动态库,该动态库中包含恶意代码。其加载后会启动系统svchost进程对其进程注入,注入内容为LiveUDHelper.dll中的一个子PE文件。该PE文件中包含真正的下载器病毒代码,执行后会下载hxxp://dl.i1236.com/dl/wrqdown2/ravv16stdf10O4120001.exe。如下图所示:

 
图 5 恶意推广行为日志

 
图 6 进程树
通过文件属性我们可以看出其所下载的文件是一个7Z自解压包,并且包含瑞星数字签名,如下图所示:

 
图 7 软件安装包

 
图 8 数字签名详细信息
更值得一提的是,该病毒与以往我们见到的恶意推广病毒不同,其只推广瑞星杀毒软件,且其推广的该版本瑞星杀毒软件不具有任何杀毒功能,除了自保功能外,只会不定期弹出广告,甚至连软件主界面都无法正常启动。
软件广告弹窗,如下图所示:

 
图 9 广告弹窗
根据域名查询结果,下载该版本瑞星杀毒软件的域名(hxxp://dl. i1236.com)与瑞星官方论坛域名(hxxp://www.ikaka.com)的注册人信息一致。如下图所示:

[1] [2] [3] [4] [5]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载