吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 111878|回复: 842
上一主题 下一主题
收起左侧

[PC样本分析] 成人游戏传播后门病毒 小心BT种子下载站

    [复制链接]
跳转到指定楼层
楼主
火绒安全实验室 发表于 2020-12-9 19:52 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
【快讯】
近期,火绒接到一起用户感染病毒的求助,火绒工程师查看分析后,确认为后门病毒。经过溯源发现,该病毒被打包进数款成人类游戏,并在成人游戏BT种子下载站等地传播。当下载游戏运行后,便会激活其中的后门病毒,执行挖矿模块。火绒用户无需担心,火绒安全软件最新版已对上述病毒进行拦截查杀。



火绒工程师详细分析发现,该后门病毒伪装的游戏程序被运行后,会在用户终端上新建一个文件目录并将自身复制到其中,以便用户卸载游戏后仍可以驻留在用户终端上。不仅如此,该病毒还将自身添加在Windows Defender排除目录下,以躲避其查杀。
此外,为了兼顾隐蔽性和效率,该病毒会每隔五分钟自行运行一次,并在运行前检测用户终端鼠标指针移动及任务管理器情况,一旦检测到用户使用电脑,病毒便立即停止挖矿避免造成电脑卡顿后被发现,行为十分狡猾,用户需小心防范。
火绒工程师表示,借助BT种子下载站向固定游戏人群传播病毒已经成为病毒扩散的一大方式,特别是一些成人类等敏感游戏,由于其本身具备灰色游戏的性质,容易欺骗用户查杀时当成误报而放过。在此,我们也建议大家尽量选择正规渠道下载游戏,必要时,可先开启火绒等靠谱的安全软件扫描查杀后再运行。
附:【分析报告】

一、        详细分析
近期,火绒接到用户反馈电脑中可能被植入了挖矿病毒,随后我们确认了中毒情况。经过溯源分析,我们发现一个成人游戏BT种子下载站中可以下载到被植入该病毒的游戏压缩包,病毒会伪装成游戏主程序诱导用户点击、执行后门挖矿病毒,病毒执行后会下载执行挖矿模块。病毒执行流程,如下图所示:


病毒执行流程图

用户下载含有病毒的成人游戏,点击伪造的游戏主程序,便会执行病毒模块。具体文件列表,如下图所示:


用户下载并点击伪造的游戏主程序

病毒会判断自身路径是否包含“AppData\Roaming”, 如果不包含则启动同目录下的*.tmp游戏原文件,等待游戏退出后执行恶意操作。具体现象,如下图所示:


病毒启动原来的游戏主程序


原始游戏

当游戏退出后,病毒会检测杀软(卡巴斯基),并将%APPDATA%目录(病毒存放自身和挖矿组件的目录)添加到Windows Defender的排除目录中。具体代码,如下图所示:


检测杀软,添加Windows Defender排除目录

病毒复制自身到%Appdata%\ms\service.exe。相关代码,如下图所示:


复制自身到%Appdata%\ms\service.exe


复制自身到%Appdata%\ms\service.exe

病毒会创建计划任务,从计划任务创建当天的23:10开始之后每隔五分钟运行一次%Appdata%\ms\service.exe模块。相关代码,如下图所示:


创建计划任务


主机的计划任务信息

当计划任务启动病毒模块%Appdata%\ms\service.exe时,病毒会将自身所在的目录隐藏,并清理之前的挖矿组件。


清理之前的挖矿组件

病毒可以接收后门指令,从而获得受害主机信息和控制挖矿的执行流程。具体代码,如下图所示:


接收后门指令和下载执行挖矿

病毒为了能够持久驻留,不被用户发现,只在主机空闲时挖矿。病毒如果检测到主机有Taskmgr(任务管理器)进程存在、当前窗口变化或者鼠标指针移动,则结束进程停止挖矿。相关代码,如下图所示:


闲时挖矿

经过查询,该病毒通过挖矿牟取利益数万余元。该病毒的部分钱包地址信息,如下图所示:


部分钱包地址信息

二、        附录
样本hash



点评

游戏名字:拯救行动(我不会说我还做过这个游戏移植的/滑稽)  发表于 2020-12-11 08:41

免费评分

参与人数 365吾爱币 +306 热心值 +327 收起 理由
飞行者 + 1 + 1 谢谢@Thanks!
离轩 + 1 + 1 谢谢@Thanks!
永不言弃669 + 2 + 1 热心回复!
windylove + 1 谢谢@Thanks!
zhangzy228 + 1 + 1 谢谢@Thanks!
alpaca0v0 + 1 + 1 我很赞同!
shakatian + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
TongShuai + 1 谢谢@Thanks!
qiuxiao + 1 鼓励转贴优秀软件安全工具和文档!
dtl521 + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
shinjaxu + 1 用心讨论,共获提升!
wwxxeevv + 1 + 1 我很赞同!
fei8255 + 1 + 1 谢谢@Thanks!
prodcd + 1 + 1 谢谢@Thanks!
冷雨 + 1 + 1 用心讨论,共获提升!
wapj4765 + 1 + 1 阿绒
kimiwei + 1 + 1 我帮朋友问一下,这个游戏在哪儿下载?
lxwlxwlxw + 1 谢谢@Thanks!
金钱一层 + 1 + 1 我很赞同!
user_0628 + 1 + 1 热心回复!
风停止水 + 1 + 1 我很赞同!
jw987123jw + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
wraefw + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
瞬间少年 + 1 谢谢@Thanks!
唐明 + 1 + 1 火绒!永远滴神!
词庸奋斗 + 1 + 1 热心回复!
侑燈 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
即将来临 + 1 + 1 啊这
LU1 + 1 + 1 热心回复!
O678O + 1 谢谢@Thanks!
彬仔。 + 1 谢谢@Thanks!
罗小嘿嘿 + 1 热心回复!
sgjf2010 + 2 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
疯子你打我啊1 + 1 + 1 我很赞同!
酒笙 + 1 + 1 热心回复!
A95741314 + 1 + 1 热心回复!
月飘摇 + 1 + 1 我很赞同!
liuchenzi + 1 + 1 热心回复!
chichi32 + 1 + 1 热心回复!
Bizhi-1024 + 1 谢谢@Thanks!
Equator + 1 + 1 谢谢@Thanks!
Lsygood + 1 鼓励转贴优秀软件安全工具和文档!
艾叶生 + 1 + 1 我很赞同!
bm5381 + 1 + 1 谢谢@Thanks!
笑己可笑 + 1 热心回复!
zmllxh + 1 + 1 谢谢@Thanks!
lijiahangmax + 1 + 1 谢谢@Thanks!
yixi + 1 + 1 谢谢@Thanks!
yourenzhang + 1 + 1 谢谢@Thanks!
am900 + 1 + 1 谢谢@Thanks!
lvyiwuhen + 1 热心回复!
Jw7560 + 1 热心回复!
bricher9988 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
tjw1203 + 1 + 1 谢谢@Thanks!
zz110 + 1 + 1 我很赞同!
aizai00541 + 1 + 1 谢谢@Thanks!
庆少 + 1 + 1 谢谢@Thanks!
北港啊 + 1 我很赞同!
yk1807 + 1 + 1 我很赞同!
BG8HVH + 1 + 1 用心讨论,共获提升!
zzzbbbccc + 1 谢谢@Thanks!
xI9ophKW + 1 我很赞同!
DancingLight + 1 + 1 用心讨论,共获提升!
voila。 + 1 + 1 谢谢@Thanks!
JohnsonS + 1 我很赞同!
独行风云 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
慕容秀儿丶 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
songjie20 + 1 + 1 用了很久的火绒,杀毒方面不太了解,但功能是真的简单便捷,关键没有捆绑
9527kk + 1 + 1 谢谢@Thanks!
poisonbcat + 1 + 1 谢谢@Thanks!
OLDking55555 + 1 + 1 谢谢@Thanks!
jiang9831 + 1 + 1 我很赞同!
zrer022 + 1 + 1 谢谢@Thanks!
天花板 + 1 热心回复!
AlohaRE + 1 + 1 我很赞同!
带司 + 1 + 1 我很赞同!
0-n-3 + 1 + 1 我很赞同!
朕来打江山 + 1 + 1 太高端了
miao_miao + 1 + 1 我很赞同!
SanyueJun + 1 + 1 热心回复!
网络平民 + 1 + 1 热心回复!
smallchop + 1 + 1 我很赞同!
18226116158 + 1 + 1 我很赞同!
20200214 + 1 + 1 谢谢@Thanks!
He深渊 + 1 我很赞同!
小胜 + 1 谢谢提醒,吾爱有你真厉害
Zidhogg + 1 + 1 谢谢@Thanks!
青铜破人 + 1 + 1 谢谢@Thanks!
changanhuakai + 1 + 1 火绒良心
DALYQ + 1 NB
风语毅 + 1 火绒流批(赞
Indra + 1 谢谢@Thanks!
窗外灯火几许 + 1 + 1 怕了拍了
lishixin23 + 1 + 1 用心讨论,共获提升!
zhh + 1 + 1 用心讨论,共获提升!
登徒子道友 + 1 + 1 用心讨论,共获提升!自带色情病毒,大家不都心知肚明吗?
Moliere + 1 + 1 热心回复!
YuLoo + 1 + 1 我很赞同!
amovokiss + 1 + 1 谢谢@Thanks!
剑鬼 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

头像被屏蔽
推荐
mn951wq 发表于 2020-12-9 23:17
提示: 作者被禁止或删除 内容自动屏蔽
推荐
monki 发表于 2020-12-9 21:35
游戏叫Savior Quest ,真不知道是哪个畜生给黄油里搞病毒

免费评分

参与人数 12吾爱币 +9 热心值 +10 收起 理由
卡浩 + 1 + 1 一开口就是LSP了
胡汉三12354 + 1 我很赞同!
liboys + 1 + 1 好人一生平安,这话还没落伍吧
KKTZZ + 1 一开口就是LSP了
Lsygood + 1 一开口就是老手了
封号中。。。 + 2 + 1 一开口就是LSP了
蒸蛋泥的热水 + 1 我有个兄弟想跟你细说
lmgang + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
136136 + 1 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
Pandolar + 1 一开口就是LSP了
yrk就是995 + 1 + 1 在,借一部说话?
18868195147 + 1 一开口就是LSP了

查看全部评分

推荐
xiaoyang.liu 发表于 2020-12-9 20:11
建议搭个虚拟机看片,拍个快照,看完还原

免费评分

参与人数 3吾爱币 +2 热心值 +1 收起 理由
难忘的旧时光 + 1 牛皮 借一步说话
MySeeker + 1 像个魔鬼一样哈哈哈哈哈
饭之律者 + 1 哎嘿!我就这么干!

查看全部评分

推荐
重鸣之蝉 发表于 2020-12-9 20:30
以后请把这类游戏给我发过来,我来帮你鉴毒
推荐
Main丶心劫 发表于 2020-12-10 18:26
xiaoyang.liu 发表于 2020-12-9 20:11
建议搭个虚拟机看片,拍个快照,看完还原

来人,给秀儿赐座
推荐
2020Lin 发表于 2020-12-9 20:57
把马赛克去了
推荐
taiyang188 发表于 2020-12-9 20:10
支持支持
沙发
judgecx 发表于 2020-12-9 20:02
啊这 玩个游戏都不安心 啧啧  
3#
苗兴仁 发表于 2020-12-9 20:03
不要用不该用的软件(滑稽
4#
jxgcool 发表于 2020-12-9 20:06
以后还能不能愉快的玩游戏了
5#
wuai6757620 发表于 2020-12-9 20:07
支持火绒!!
6#
LYHFY666 发表于 2020-12-9 20:09
这些人为了搞钱不顾一切
7#
世俗难断 发表于 2020-12-9 20:10
妈的,还能不能好好玩游戏了!/摔
10#
胖胖的帕吉 发表于 2020-12-9 20:21
这游戏我玩过,叫什么救世主
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 07:21

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表