吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 13959|回复: 80
收起左侧

[PC样本分析] 警惕,又有传奇私服RootKit正在传播

  [复制链接]
ahov 发表于 2022-8-19 14:11
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
近日,有用户反馈使用一款传奇私服游戏后无法多次尝试修改注册表AutoConfigURL项,如下图所示:
3E22BE39-DACE-414A-B09B-C7406E40A5DC.png 97C290E0-9AE2-4C0B-89E7-D918903CBB60.png

该用户提供的是传奇私服网站下载地址,如下图所示:
IMG_6346.JPG

我们发现样本“永恒大陆V2.1.exe”会在当前安装目录下创建一个PlugIn文件夹并释放文件cz_m.dll

该dll可以直接通过rundll32执行,执行之后会往安装盘根目录释放一个01.exe(使用华为的无效数字签名),如下图所示:
IMG_6347.jpg IMG_6348.jpg IMG_6349.jpg

01.exe双击后可见恶意驱动被注册,如下图所示:
IMG_6353.jpg IMG_6351.jpg IMG_6350.jpg

运行完成之后成功复现连接gwww.dkrjfvz.com:2508/baidu.txt(用户端被强制劫持的AutoURL项):
IMG_6354.jpg

之后我们发现,在 Windows 7 环境下执行恶意行为病毒会与u.wgd3ow.xyz尝试建立通信,而在 Windows 10 环境下执行恶意行为病毒会与a.qrltgx.icu尝试建立通信

通过威胁情报查询,我们发现了大量同源样本(此处不一一呈现或者进行说明),行为基本一致,如下图所示:
IMG_6356.jpg IMG_6356.jpg

第二天再次进入该下载地址下载样本后,发现样本压缩包哈希发生变化,解压之后发现样本“永恒大陆V2.1.exe”哈希再一次发生变化

新样本仍然是在PlugIn文件夹下释放恶意dll模块,文件名变化为xr_m.dll,新旧样本对比图如下图所示:
IMG_6358.jpg IMG_6357.jpg
IMG_6360.jpg IMG_6359.jpg

样本执行流程图,如下图所示:
IMG_6361.jpg

Iocs:
永恒大陆V2.1.exe(旧)cz_m.dll01.exe永恒大陆V2.1.exe(新)xr_m.dll
0502141902b112c61caf86f32b0c5da69eccccd455b58a53b46b8f2409399a2e50738087a145201cd34ee866e2dd5356fb6ec25704e343738908ebf1d9f048524c3cc418401a36c9c7fb388021ca7fc6

免费评分

参与人数 25吾爱币 +30 热心值 +23 收起 理由
Acommon + 1 + 1 我很赞同!
takeink + 1 + 1 我很赞同!
doudou969 + 1 + 1 谢谢@Thanks!
ghostOfTheWolf + 1 + 1 谢谢@Thanks!
小小随 + 1 + 1 谢谢@Thanks!
wangshu2 + 1 + 1 我很赞同!
Ajin1989 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
flea + 1 + 1 用心讨论,共获提升!
L9651165 + 1 + 1 谢谢@Thanks!
maomao23 + 1 + 1 用心讨论,共获提升!
zuirufan + 1 + 1 我很赞同!
a2003320a + 1 我很赞同!
Anekys + 1 + 1 热心回复!
f13l + 1 我很赞同!
GaoWALT + 1 我很赞同!
xdxf2000 + 1 + 1 我很赞同!
wanfon + 1 + 1 谢谢@Thanks!
没事路过 + 1 + 1 谢谢@Thanks!
88868 + 1 + 1 我很赞同!
海水很咸 + 1 + 1 用心讨论,共获提升!
MX2022 + 1 + 1 谢谢@Thanks!
meow_mtl + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
yjn866y + 1 + 1 热心回复!
Liona + 1 + 1 谢谢@Thanks!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

dian01 发表于 2022-8-23 08:44
前段时间在玩CQ的,都是在一些朋友群玩,但是首页被篡改总是发生,本来一直默念:
反正是白嫖,这点篡改就忍了。
但是发现好多办法都没能解决这种顽固的跳转。
后来没办法,重做系统,然后就坚决把传奇私服给删了,不再上了
cqpjkj1314 发表于 2022-8-22 13:53
幽灵客 发表于 2022-8-19 16:38
嗯之前玩的时候 也种过,玩了ABC传奇,在任何传奇发布站 点别人开的私服,结果都会跳到ABC传奇的网站,太操 ...

我电脑也是,软件太多,又不想重装,有没有解决办法
janny82 发表于 2022-8-19 14:13
现在还有很多玩传奇的嘛,感觉现在都已经不咋玩了~~~~~  这些该死的病毒 但依然的猖獗
tangzhikai 发表于 2022-8-19 14:21
电脑上的传奇好久没动了,没有以前的感觉了,只是80人的回忆了
荒天 发表于 2022-8-19 14:22
这就跟藻泽地一样,即使没人玩,但藻泽还在
病毒依然在等人
sp0770 发表于 2022-8-19 14:25
私服很多都是这样的,还是玩正规点的吧!
Patches 发表于 2022-8-19 14:30
传奇大多数是私服或者改版的单机在传播   好久没玩了  以前还架设过
 楼主| ahov 发表于 2022-8-19 14:40
好像是传重了一张图了?第二张是: IMG_6362.JPG
飞木几钅艮彳亍 发表于 2022-8-19 14:42
曾经下载并架设过单机版的,那些病毒华丽丽的一波一拨的,随便一个压缩包或者运行程序都带毒
禁用了杀毒软件,才架设成功,玩了半个月,删了,重装系统了
iawyxkdn8 发表于 2022-8-19 14:48
这种是自己架的才会有,一般开服的不会!
MX2022 发表于 2022-8-19 14:57
感觉都可以分出一个小版块专门放送这样需要警惕的信息了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 05:30

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表