火绒安全工程师拦截到病毒作者自家的传奇私服(

最近，火绒安全工程师截获了一种通过传奇私服登录设备传播的病毒。该病毒可以通过C&C服务器下发任意恶意模块，也可以将病毒服务器设置为代理服务器，通过篡改用户流量提升病毒作者自己的传奇私服。当用户访问传奇相关网页时，会被劫持到病毒作者自己的传奇私服，如下图：

病毒作者自己的传奇私服

火绒安全工程师分析，该病毒可以通过C&C服务器传递任意恶意模块，不排除后续传递其他恶意模块的可能性。分布式恶意模块会长期驻留在中毒用户电脑中，开机自动启动，以“白加黑”方式调用恶意代码模块，注入系统进程执行恶意行为。

广大游戏玩家要注意，私服登录设备经常会出现木马、后门等病毒。玩家下载安装后，可能面临网页劫持、个人隐私数据泄露等不同危害，严重侵犯用户隐私和资产安全。因此，工程师提醒玩家提高警惕。

火绒安全产品可以拦截查杀以下传奇私服登录设备携带的病毒：

传奇 植入此病毒的私人服务器登录列表

病毒查杀图

病毒的执行流程如下图所示：

病毒执行过程

以“梁山好汉=登陆者”为例进行分析

样本分析表明，进入游戏后，恶意模块.exe会被释放并执行， Sword监控到的行为图如下图所示：

Sword 监控的行为图

恶意.exe会根据配置文件加载远程恶意.dll及相关代码，如下图所示：

远程加载恶意.dll

恶意模块.dll会释放.exe（与之一个恶意模块相比，少了一个s）和.dll到C:\\\Setup\，其中.exe为带有腾讯签名的白色文件，病毒通过“白色加黑”绕过杀毒软件。.exe签名信息，如下图所示：

.exe签名信息

.dll恶意模块的签名信息直接复制.exe的签名信息进行伪装，如下图所示：

.dll 签名信息

恶意.dll还会进行一系列操作来保证后续的恶意模块能够正确执行，例如：添加证书、设置浏览器代理、持久化操作以及相关代码，如下图所示：

添加证书、设置浏览器代理和持久化操作

修改后的浏览器配置信息如下图所示：

修改浏览器配置信息

添加的任务计划如下图所示：

添加任务计划

利用该服务启动白名单文件.exe，然后以“白加黑”的方式加载.dll执行恶意代码。相关代码如下图所示：

通过服务启动.exe

.dll以“白加黑”的形式加载运行。当与.dll同目录的.exe（白色文件）运行时，会调用其导出的函数""。相关代码，如下图所示：

调用被劫持的函数

该函数运行时会解密自身内部的“.dll”恶意模块，并将其注入到系统进程中。相关代码如下图所示：

注射

在恶意.dll中，根据服务器的配置执行恶意.dll及相关代码，如下图所示：

加载远程恶意模块.dll

恶意.dll中，为了防止证书被删除，每次启动都会检查证书是否存在。如果证书不存在，它将重新添加证书。相关代码如下图所示：

添加证书

并不断循环修改浏览器的代理设置和相关代码，如下图所示：

修改浏览器代理

修改后的浏览器设置如下图所示：

修改浏览器设置

被劫持的域名是其他传奇私服站点的域名。当用户访问相关的传奇私服时，会被劫持到107.148.49.141，用于传送到病毒作者自己的传奇私服，相关代理脚本，如下图:

相关代理脚本

两个附录 C&C：

样本哈希：

火绒安全成立于2011年，是一家专注、纯粹的安全公司，致力于在终端安全领域为用户提供专业的产品和用心的服务，并持续赋能外挂杀毒引擎等相关自主研发技术。多年来，火融安防产品以“专业、洁净、轻便”的特点赢得了用户的良好口碑。火绒企业版产品针对企业内外网络的薄弱环节传奇网站，拓展企业终端管理的范围和方式，提高产品兼容性和易用性，最终实现更直观的威胁可视化和轻型管理。