传奇sf 《传奇》私服暗藏杀机，“不死族”病毒肆虐全球

概述

以《传奇》为代表的各类游戏私服违规运营早已猖獗，在国内游戏地下黑产行业中独树一帜。围绕游戏的巨额利润争夺，导致各大私服运营商之间的斗争愈演愈烈，频频利用网络劫持、DDOS等技术手段“攻城掠地”。因此，私服客户端一直是顽固病毒家族繁衍和传播的痼疾。为了对抗竞争对手、外挂、安全厂商，私服客户端经常捆绑各类顽固病毒，并盗取、冒充正常软件数字签名逃避检测防御，使用VMP等虚拟机强壳防护进行反分析。作为刚需，普通游戏用户往往无视安全软件的检测拦截提示，却主动放任恶意驱动模块的加载，最终导致网络浏览异常、系统蓝屏崩溃、感染盗号木马等严重安全后果。

近日，360安全团队再次监测到一类通过“捕风捉影”系统进行劫持的病毒家族活跃迹象。该病毒家族主要通过各类私服客户端捆绑传播，主要通过TDI过滤、DNS劫持、HTTP(s)注入、HOSTS重定向等技术手段篡改用户系统网络数据包，劫持正常网页访问指定私服网站，并利用安全软件云查杀数据包屏蔽、关机回调重写等手段实现反检测。此外，该家族还对私服运营竞争对手常用的病毒驱动特征码进行阻断和反制，以达到长期稳定劫持控制用户的目的。

根据模块pdb路径中的项目名“ ”，我们将其命名为“”家族。从我们长期的监控数据来看，该家族近两年非常活跃，自2017年初以来，通过窃取正规厂商的数字签名，频繁传播变种，该变种版本最早出现于2018年10月左右。目前，该家族呈现活跃态势，全网累计感染数量预估超过50万。

技术分析

该病毒主要运行流程如下：

病毒驱动从恶意传奇私服客户端开始逐层释放，根据系统版本的不同，最终释放不同的驱动文件。我们以其中一个样本为例，用户打开传奇私服客户端后，程序释放.exe到TEMP目录下。.exe主要负责向指定服务器上报相关配置信息，上报完成后会下载：11153/*.dat到本地，而这个*.dat会下载4个驱动文件到本地。这4个驱动文件大致用途如下：

（1）*.dat

以64位系统中释放的驱动程序（.dat）为例，其主要功能是劫持用户计算机网络并篡改相关系统配置传奇sf，从而拦截杀毒云查询、劫持正常HTTP访问，具体实现方法如下：

A. 注册TDI回调函数来过滤发送和接收的数据包

病毒驱动加载后，对R和A进行处理，前者主要负责发送网络数据，后者负责处理接收到的网络数据，经过这两处过滤之后，结果是访问域名A时，实际打开的是网站B。

360与云端通信时，在检测关键字段“x-360-ver:”的过程中，云查询被中断，导致云查杀失效：

在R中，病毒在收到符合规则的请求响应数据后，直接修改数据包，并嵌入相应的HTML框架代码进行劫持，劫持后的效果如下：

以下是被篡改并插入的数据包代码：

B. 设置 IE 代理劫持 HTTP 访问

通常设置了TDI过滤之后就已经实现了对网络的全局管理，设置IE代理的目的推测是希望在杀毒软件清理完病毒驱动之后能够长期劫持网站访问。

IE代理配置信息由云端实时发送，相关配置文件下载地址为106.14.47.210:11054/.dat，文件内容可根据需要实时更改，文件中内容为加密信息，解密后为：50511/.pac：

该链接指向一个经过混淆的pac脚本文件，去混淆后内容包含大量私服网站URL信息，当程序使用IE的代理设置，访问列表中的网站时，就会被劫持并跳转至114.55.234.27:10000()：

根据劫持列表分析，除私服网站外，被劫持重定向的一些主流网站包括：

C. 创建关机回调、劫持 DNS 并自我更新

在关机回调中病毒驱动主要劫持DNS并进行自我更新。

通过访问106.14.47.210:11054/.dat下载被劫持的DNS配置信息，然后在关机回调中设置电脑的DNS，就完成了DNS修改劫持。虽然目前修改DNS是正常的，但是由于这个配置信息是从云端发送过来的，所以不排除病毒作者后续会设置恶意的DNS配置信息：

接下来病毒会访问120.77.36.184:11054/.dat，下载最新版本的驱动文件，并以随机名字保存，然后在下次开机时作为服务启动，完成更新：

D.创建图片加载回调，拦截其他病毒

在镜像加载回调中，为了保证被感染电脑能够成功被自身劫持，当检测到当前有驱动被加载时，会比对特征，看是否在黑名单中（黑名单从106.14.47.210:11054/.dat下载），如果符合拦截规则，则直接禁止加载。黑名单中的驱动特征如下，这些特征大部分都被同类型的病毒窃取并用来给自己的恶意程序签名：

E. 创建注册表回调来保护你自己的启动

在注册表回调中，如果发现有针对IE代理设置和驱动服务注册表项的操作，则直接拒绝访问，防止相关注册表项被修改。

此外，病毒还会循环枚举注册表回调函数的地址，如果检测到被删除，则会重新注册该回调函数，这是为了防止用户使用ARK等工具删除回调函数，导致手动清除病毒变得困难。但如果​​病毒程序本身在升级时需要修改相关注册表项，则会使用开关标记暂停对相关注册表项的保护。

F.下载配置信息，实时更新劫持信息

上述整个劫持过程不需要与3-ring进程交互，完全由0-ring驱动实现，相关配置信息也是从远程服务器下载，具体配置文件信息如下：

（2）*.dat

该驱动加载后，会在下次开机时劫持进程对本地 hosts 文件的访问。本地 hosts 的基本功能是将一些常用的域名与 IP 地址关联起来。当用户输入网址时，它会先在本地 hosts 文件中查找对应的 IP，以加快解析速度。但如果本地 hosts 文件被劫持，可能会返回错误的 IP 地址。

病毒驱动主要注册一个关机回调函数，并在回调函数中加载并释放.dll到目录，然后注册服务项，保证每次开机都能正常加载DLL。.dll释放驱动.sys到TEMP目录，这个.sys是该公司提供的文件过滤驱动：

其封装了大量的文件操作API供用户使用，在.dll中通过添加针对hosts文件的拦截规则，即当进程访问etc目录下的hosts文件时，会重定向到.mid：

劫持列表.mid由.dll从:11153/.dat下载，并以系统声音文件形式保存在C:\\media\中，其内容为被劫持的域名和需要重定向的IP，部分被劫持网站截图如下：

当访问的正常网站被劫持时，访问结果如下：

而*.dat本身也会实时从120.77.36.184:11153/.dat下载更新，并进行自我升级：

（3）*.dat

该驱动主要用于安装根证书，以劫持使用HTTPS的网站。

驱动加载完成后会释放证书文件到c:\\SSL并安装，释放的CA2.cer为根证书，会作为受信任的根证书颁发机构安装到系统中。这一步主要是为了防止后面劫持HTTPS网站时浏览器发出警告，这也是一种常见的中间人攻击手段：

相关劫持列表信息会从：11153/.dat下载，当你访问未被劫持的HTTPS网站时，会发现证书是：