欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

“魔兽”玩家小心啦! Lucky蠕虫病毒利用魔兽地图大肆传播

来源:本站整理 作者:佚名 时间:2019-05-07 TAG: 我要投稿

刚刚过去的“五一”小长假里,各大景区“汹涌”的人山人海,想必让很多选择留在家中打游戏的玩家都庆幸自己躲过了一劫。不过,游戏世界里却也未必安宁,就在五一节前,360安全大脑拦截并查杀了一款通过《魔兽争霸3》游戏地图进行传播的新型蠕虫病毒,玩家一旦在游戏平台中选择了带有该蠕虫的地图,蠕虫就会感染玩家的计算机。
魔兽争霸地图或均受牵连
特别需要注意的是,面对该蠕虫病毒的威胁,广大玩家可别低估病毒的传染能力。根据360安全大脑追踪发现,该蠕虫在入侵得手后,会进一步感染玩家魔兽争霸中的其它正常游戏地图。这就意味着,若你的小伙伴中毒不自知,还邀你组局开黑,当你进入了游戏房间,你的地图也会随之中招。因此如若不及时查杀,病毒可能在最短时间内造成大面积感染。
经过深度溯源分析,发现蠕虫作者使用的C&C域名带有lucky2048字样,故将此蠕虫病毒命名为“Lucky蠕虫”。360安全大脑在监测到这一新型病毒后,已第一时间实现了全面查杀,因此“Lucky蠕虫”的活跃度在五一节假日这一用户玩游戏的高峰时段就有了非常明显地跌落。

Lucky蠕虫整体工作流程
解刨“蠕虫”母体 全面分析攻击原理
某个被感染的“Green Circle塔防三国”地图结构如下,其中主脚本“war3map.j”被插入一句代码以触发执行嵌入的脚本“initrb”(“File00000028.xxx”),该脚本即为被利用的魔兽地图漏洞攻击代码,主要功能是释放并执行lucky蠕虫模块“MX.txt”(“File00000029.exe”,实际上是个DLL程序)。

脚本“war3map.j”在主函数末尾插入了一句调用代码,用来执行“initrb”漏洞代码:

“initrb”漏洞攻击代码其实早在去年就有人公开披露过,只不过现在被不法分子用来传播蠕虫病毒获取“肉鸡”(参考:“hxxps://www.52pojie.cn/thread-718808-1-1.html”)。该代码主要利用了脚本变量的类型转换漏洞实现了任意内存读写,进而劫持魔兽争霸3主程序去加载运行蠕虫模块“MX.txt”。

此漏洞形成的原因是当脚本中的全局变量和局部变量同名时,会将全局变量转成局部变量,从而造成全局变量的引用指针发生了意外转换。如下全局整型数组变量“Memory”在某过程函数中被重新定义成了一个局部的整型变量,导致全局变量“Memory”地址变成0,从而可以索引进程空间所有的内存地址范围,进而用来实现任意内存读写。

该漏洞影响了《魔兽争霸3》的多个历史版本,攻击代码中对此也做了相应的兼容性检测。

蠕虫模块“MX.txt”是一个加了VMP强壳保护的DLL程序,被《魔兽争霸3》游戏进程加载运行后,主要的工作流程分成3个部分,分别是感染正常的魔兽地图、安装持久化后门和远程控制。
1、感染地图
该蠕虫在感染用户正常地图时首先释放魔兽“MPQ”格式的API库文件“SFmpq.dll”,使用该文件可以方便的操作“MPQ”格式的地图资源。

然后去《魔兽争霸3》安装路径的地图目录下寻找所有的“*.w3x”格式的地图,并使用MPQ库API来操作这些地图文件的内部脚本资源。

该类地图文件的主运行脚本为“war3map.j”,于是该蠕虫找到该脚本位置,准备往其中插入漏洞利用代码和蠕虫程序本身。

找到“war3map.j”的主函数尾位置,然后插入一行调用代码以执行真正的漏洞利用脚本“initrb”,接着将内置的“initrb”脚本添加到目标地图文件中,脚本代码与前述一致。

除了漏洞利用脚本外,还往目标地图中添加蠕虫病毒母体本身,进行自我复制。

2、安装持久化后门

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载