吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11443|回复: 97
收起左侧

[PC样本分析] 传奇私服暗藏病毒劫持用户流量

   关闭 [复制链接]
火绒安全实验室 发表于 2022-12-8 09:33
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2022-12-8 09:33 编辑

近日,火绒安全工程师拦截到一款病毒正通过某传奇私服登录器进行传播。该病毒可通过C&C服务器下发任意恶意模块,还会将病毒服务器设置为代{过}{滤}理服务器,通过篡改用户流量来推广病毒作者自家的传奇私服。当用户访问传奇相关的网页时,会被劫持到病毒作者自家传奇私服,如下图所示:

Image-4.png

病毒作者自家传奇私服


火绒安全工程师分析称,该病毒可通过C&C服务器下发任意恶意模块,不排除后续下发其他恶意模块的可能。 被下发的恶意模块将长期驻留在中毒用户电脑中,并开机自启动,利用“白加黑”调用恶意代码模块以及注入系统进程的方式来执行恶意行为。广大游戏玩家需要注意,私服登录器携带木马、后门及其他病毒的情况时有发生,玩家下载安装后,可能面临网页被劫持、个人隐私数据泄露等不同危害,严重侵害用户隐私和资产安全。因此,火绒工程师提醒广大玩家提高警惕。火绒安全产品可对以下传奇私服登录器携带的该病毒进行拦截查杀:

Image-5.png

被植入该病毒的传奇私服登录器列表


Image-6.png

病毒查杀图




病毒的执行流程,如下图所示:

Image-7.png

病毒执行流程



以“梁山好汉=登陆器”为例进行分析:

一、样本分析

当进入游戏后,会释放并执行恶意模块 QQExternals.exe,火绒剑监控到的行为图,如下图所示:

Image-8.png

火绒剑监控到的行为图



恶意模块QQExternals.exe会根据配置文件来加载远程恶意模块InstallCore.dll,相关代码,如下图所示:

Image-9.png

远程加载恶意模块InstallCore.dll


恶意模块InstallCore.dll会释放QQExternal.exe(和第一个恶意模块相比少了一个s)和BugRpt.dllC:\ProgramData\Microsoft\Setup\,其中 QQExternal.exe为带有腾讯签名的白文件,该病毒通过“白加黑”的方式来绕过杀毒软件查杀。QQExternal.exe签名信息,如下图所示:

Image-10.png

QQExternal.exe签名信息



BugRpt.dll恶意模块的签名信息直接复制QQExternal.exe签名信息来进行伪装,如下图所示:

Image-11.png

BugRpt.dll签名信息

恶意模块InstallCore.dll还会执行一系列操作来保证后续的恶意模块能正确被执行,如:添加证书、设置浏览器代{过}{滤}理、持久化操作,相关代码,如下图所示:

Image-12.png

添加证书、设置浏览器代{过}{滤}理、持久化操作





修改后的浏览器的配置信息,如下图所示:

Image-13.png

修改后的浏览器配置信息

被添加的任务计划,如下图所示:

Image-14.png

被添加的任务计划



利用服务启动白名单文件QQExternal.exe,再以白加黑的方式加载BugRpt.dll来执行恶意代码,相关代码,如下图所示:

Image-15.png

通过服务启动QQExternal.exe


BugRpt.dll是以白加黑的形式被加载运行,当BugRpt.dll同目录下的QQExternal.exe(白文件)被运行时,会调用其导出函数“BR_UserInit”。相关代码,如下图所示:

Image-16.png

调用被劫持的函数



BR_UserInit函数运行后会解密自身内部的”Puppet.dll”恶意模块并注入到系统进程WmiPrvSE中,相关代码,如下图所示:

Image-17.png

注入WmiPrvSE


在恶意模块Puppet.dll中,根据服务器的配置来执行恶意模块PuppetLib.dll,相关代码,如下图所示:

Image-18.png

加载远程恶意模块PuppetLib.dll


在恶意模块PuppetLib.dll中,防止证书被删除,每次启动都会检查证书是否存在,如果证书不存在,将重新添加证书,相关代码,如下图所示:

Image-19.png

添加证书



并且一直循环修改浏览器的代{过}{滤}理设置,相关代码,如下图所示:

Image-20.png

修改浏览器代{过}{滤}理



修改后的浏览器设置,如下图所示:

Image-21.png

修改后的浏览器设置



被劫持的域名均为其他传奇私服站点域名,当用户访问相关传奇私服时,会被劫持到107.148.49.141,该地址用来中转到病毒作者自家传奇私服,相关代{过}{滤}理脚本,如下图所示:

Image-22.png

相关代{过}{滤}理脚本



二、附录

C&C

Image-23.png

样本hash

Image-24.png

点评

快卸掉你的假传奇  发表于 2022-12-9 13:07

免费评分

参与人数 25吾爱币 +22 热心值 +22 收起 理由
CasperFeehily + 1 谢谢@Thanks!
geek_NO1 + 1 + 1 热心回复!
skyff1 + 1 + 1 我很赞同!
xtfw99 + 1 + 1 用心讨论,共获提升!
WinSCIEN + 1 还是自己的最靠谱
woniuxiaojiang + 1 + 1 我很赞同!
EoUr + 1 + 1 热心回复!
Hsren + 1 我很赞同!
junshaoq + 1 我很赞同!
allenzhu + 1 + 1 用心讨论,共获提升!
Huibq120 + 1 + 1 为火绒点赞
qinghuayuan + 1 + 1 我很赞同!
极地企鹅 + 1 + 1 我很赞同!
Patches + 1 + 1 网页版传奇确实容易中招,目前小程序也有很多传奇私服,不知道有没有问题。
oysf179354755 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Mint_Grass + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
北冥鱼 + 2 + 1 我很赞同!
CYLmtthhh + 1 + 1 用心讨论,共获提升!
aaabbb9527 + 1 + 1 我很赞同!
Ll001 + 1 + 1 热心回复!
秋风君 + 1 + 1 用心讨论,共获提升!
羊肉串 + 1 中国人太聪明了
mishiren + 1 基本操作
yuanliu056 + 1 用心讨论,共获提升!
月断潇潇 + 1 + 1 像这种的话,想玩 但又怕病毒有什么办法限制病毒吗

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

andersgong 发表于 2023-1-31 15:25
传奇私服确实是重灾区,几乎很难幸免,只敢扔在虚拟机或者沙盒里运行
秋风君 发表于 2022-12-8 10:39
林小锋 发表于 2022-12-8 09:43
一般都是自己架设玩  不怕这个

你怕是不知道发布站修改的地方更多哦,单机登录器,登录器生成器,各种地方都有可能做手脚,免费版本,甚至收费下载的版本,也不见得安全。

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
kk52140 + 1 + 1 我很赞同!

查看全部评分

crystalrock 发表于 2022-12-8 09:40
guanguan123 发表于 2022-12-8 09:42
        吓人 搬砖都不敢随便找服了
林小锋 发表于 2022-12-8 09:43
一般都是自己架设玩  不怕这个
新日安 发表于 2022-12-8 09:43
幸亏不玩。。。
topckey 发表于 2022-12-8 09:47
现在打开个网页游戏都不安全了..杀毒软件得加油啊!
俊公子 发表于 2022-12-8 09:53
这是打算省下广告费。污染用户的系统进行打广告。
guhuishou 发表于 2022-12-8 10:03
还是自己搭一个更靠谱啊
paley840118 发表于 2022-12-8 10:11
玩个游戏瑟瑟发抖
hesqiang 发表于 2022-12-8 10:36
感谢楼主.现在还有多少玩玩呀
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 05:40

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表