时间:2022-12-16 03:17:01
近日,国内知名安全团队发现,一款名为爱玩宝传奇盒子的传奇私服注册器将病毒植入用户电脑。 黑客可以在CC服务器上控制受害终端的下载,运行恶意代码,所以请小心下载。
病毒为什么很喜欢私服游戏传奇私服。 从热血传奇发展而来,虽然违反,但无法阻挡热情玩家的热情。 因为那个优点太多了。 首先,完全免费进入游戏,不需要充值卡和其他费用,升级速度比热血传奇容易多了,装备也很好。
所以,从第一次传奇私服到现在,已经有十年了,但却经久不衰。 虽然仍有很多玩家喜欢传奇私服,但却很容易忽视软件的安全性。
病毒威胁近日,羊绒安全实验室发现一款名为爱玩宝传奇盒子的传奇私服注册器将病毒植入用户电脑。 黑客可以通过CC服务器控制受害终端的下载并执行任何恶意代码。 恶意代码功能有防止安全软件正常加载,定期弹出广告窗口的功能。 此外,通过跟踪相关威胁数据,发现该恶意模块不断更新,不排除黑客向用户分发更具威胁性的恶意代码并在本地执行的可能性。
CC服务器将命令发送到攻击者的计算机被恶意软件入侵的系统,并从目标网络接收被盗数据。 顺便说一下,我们知道现在很多cc服务器都是IDC服务器,使用基于云的服务,如互联网邮件和文件共享服务。 这是C&; 这是为了确保C服务器与正常通信集成且未被检测到。
病毒分析、推送恶意广告为csrss.exe (与系统文件同名),用户完成安装后,将出现两个恶意模块Advertisement.exe和KQ6k707bwC0I.exe 其中Advertisement.exe启动后会在后台静默运行,定期弹出广告。 通过分析代码,我们发现程序具有日志功能,默认情况下是关闭的。 打开日志功能后,会显示此恶意模块与CC服务器的通信进程,但在我们的分析过程中服务器没有返回有效的广告信息。 日志信息和相关代码的逻辑信息如下图所示。
代码逻辑
日志信息截图:
日志信息截图
KQ6k707bwC0I.exe发行Fsfilter.sys恶意驱动程序模块,该模块与CC服务器通信以下载并执行任何恶意模块。 驱动数字签名,如下图所示。
驱动数字签名
此模块从CC服务器上获取更新模块( update.exe ),相关日志信息如下图所示。
更新模块
更新模块启动时,将释放相关的恶意驱动程序模块,如下图所示。
释放恶意驱动器模块
该恶意驱动模块通过注册系统回调函数阻碍专用杀工具驱动的正常加载,如下图所示,绒剑拦截相关行为信息。
天鹅绒之剑截获了相关的行动信息
卸载过程复杂繁琐该软件的卸载过程非常繁琐,残疾用户需要成功卸载,并首先填写至少20个卸载原因和QQ号等联系方式,卸载完成后如下图所示。
卸载过程很复杂
卸载很复杂
卸载完成后,恶意驱动程序将驻留在用户的系统上继续执行恶意行为。 如下图所示。
卸载后驱动器模块的加载情况
恶意软件跟踪会根据恶意数字签名跟踪相关公司的信息。 请参照下图。
做私服风险评估玩私服好处多,但风险极大,人财两空容易后悔。 为什么会这样呢?
首先便衣制作者可以随心所欲。 在私服游戏中,不法分子完全按自己的喜好操作一切。 一旦反复无常,就会马上自由修改数据,其中的玩家得不到公平性和游戏性的保障,游戏过程自然也不开心。 其次,便衣随时都有可能闭服。 私服本来就是违法行为,在受到打击和惩罚的时候,永久合上衣服是必然的结果,玩家的投入血本无归,看到自己的时间和金钱化为泡影,那时后悔已经晚了! 最后,被盗风险高,容易上木马。 很多不法分子打着便衣的旗号,但实际上为了传播盗号病毒,在下载这些所谓的“便衣程序”的过程中,电脑很可能会感染病毒,造成盗号、个人信息被盗等重大风险。
感谢您阅读全文。 喜欢网络安全的伙伴请关注我的账号,点赞转发。 下一期再见吧。
