传奇私人服务器携带病毒劫持网络流量，天鹅绒已被拦截

填写信息以获取报告的电子版本：

最近，天鹅绒工程师发现，一个传奇私人服务器登录设备正在将恶意模块植入用户的计算机以劫持用户流量。当用户下载传奇私服登录设备并在游戏私服站点上启动游戏时，私服登录携带的恶意模块会立即激活，并执行劫持网络流量、上传终端信息等恶意行为。此外，根据天鹅绒工程师对现有代码内容的分析，恶意模块仍在更新中，未来可能会发展成为内核级后门，对用户构成巨大的安全威胁。

这一次，传奇私人服务器登录站点页面带有病毒模块

拦截并杀死了传奇私人服务器登录及其携带的恶意模块。感染病毒的用户可以下载天鹅绒杀伤工具去除病毒，重启电脑，使用天鹅绒【全扫】功能彻底杀灭病毒。（杀下载地址：）

天鹅绒杀戮

经过天鹅绒工程师对源头的分析和追踪，发现天鹅绒捕获的传奇私服登录携带的恶意模块和天鹅绒捕获的历史版本的恶意模块都添加了 WHQL认证签名（如下图所示），很容易让用户误以为是正式上线的程序。这种行为具有很强的欺骗性，用户需要保持警惕。

传奇私服登录恶意模块的数字签名信息

在 9 月捕获恶意模块的数字签名信息

其实我们在搜索引擎中搜索“私服”等关键词时，可以找到很多游戏私服开盘表的链接，包括传奇私服，如下图所示

百度搜索结果

长期以来，这类游戏私网服务器为了攫取利润，以“让用户获得更好的游戏体验”的名义，利用搜索引擎竞价排名功能，支付宣传推广费用，诱导用户下载使用;同时，它们还经常携带病毒（天鹅绒也曾报道过益天OL和九州私服登录之前有后门病毒），严重侵犯了用户隐私和资产安全。

天鹅绒工程师提醒用户不要使用上述同类软件;下载未知网站软件时要慎重，如需使用，下载后请及时使用天鹅绒将其杀掉。

补充阅读：

私服游戏携带后门病毒远程控制电脑，下载时请谨慎

以下是详细分析和示例哈希：

1.详细分析

通常，对此类游戏有需求的用户会在搜索引擎中搜索“私服”等关键词，搜索结果中会出现大量指向游戏私服开表的链接。然后，游戏专用服务器打开表将用户定向到特定的游戏专用服务器站点并下载专用服务器登录。

游戏的私人服务器打开表页面

当用户从上述游戏私服站点下载并启动传奇私服登录时，私服登录会在后台释放并加载下载器的驱动，该驱动将连接到互联网并下载伪装的加密“.jpg”文件，最终在解密后获得恶意驱动。整个病毒执行过程如下图所示：

病毒执行过程

这

涉及的主要恶意文件信息如下图所示：

GK - 文件信息

下载程序驱动的文件信息

恶意驱动器文件信息

（一） GK-.DLL 解密运行下载器驱动程序

游戏私服登录运行后，会加载GK-.dll并调用其导出函数 CInit 执行恶意逻辑。CInit中执行的主要恶意逻辑代码如下图所示：

主要是恶意逻辑

首先会查找是否有资源名称为“BIN”的资源文件，如果存在，会继续执行解密逻辑，如下图所示

查找要解密的资源

具体解密码逻辑如下图所示：

解密逻辑

解密完成后，启动下载器驱动的服务，代码逻辑如下图所示：

启动下载器驱动程序

（2）下载者的驱动下载并解密恶意驱动

下载器驱动程序会先将反向编码恢复为正常顺序，保存的字符串如下图所示

还原反向编码解

码编码后，生成的 URL 如下图所示：

下载恶意驱动程序 URL

下载URL解密成功后，下载器驱动会向服务器发送请求，访问下载URL中的文件，下载逻辑如下图所示

：

请求下载恶意驱动程序

逻辑与GK-.dll文件的解密一致，待解密的文件大小保存在下载文件的偏移处，异或值保存在偏移处，待解密文件的之一个地址保存在偏移处。具体逻辑如下图所示：

解密恶意驱动器并将其写入本地

最后，下载器驱动程序为恶意驱动程序创建注册表服务，并加载并运行恶意驱动程序，如下图所示

加载恶意驱动程序

（iii） 恶意驱动

恶意驱动启动后，会创建多个线程，同时执行多个恶意操作，如下图所示

创建多个线程

1.发布恶意规则

下图显示了从 下载规则文件的主要逻辑代码

解密编码

解码后，生成的 URL 如下图所示（规则文件目前无法下载）。

rules 文件的 URL

规则文件下载完成后，恶意驱动会根据不同的字段信息匹配下载文件的内容，并设置相应的规则，如下图所示

匹配规则文件字段

规则文件中部分字段的含义如下图所示

规则文件字段的含义

2. 内核对抗

如果启动进程的对应文件中有签名，并且签名信息命中黑名单规则，则恶意驱动将结束目标进程。如果黑名单规则中没有遗漏任何签名，则目标进程名称将继续被评估，如果进程名称为“”或“”，目标进程也将终止。相关代码如下图所示：

结束命中黑名单规则的过程

同时，恶意驱动文件本身也保存了一批签名信息黑名单，命中这批黑名单的程序也会被恶意驱动禁止加载和启动，如下图所示

黑名单信息

3. 流量劫持

这

以下三种类型的辅助字段存储在与被劫持网站相关的字段的千斤顶中，相关含义如下图所示：

劫持规则字段的含义

恶意驱动使用钩子驱动Afd的【L】，达到劫持网络的目的，钩子代码逻辑如下图所示

钩子逻辑

在被钩住后的函数中，恶意驱动会对网络请求进行过滤，具体劫持逻辑如下图所示

劫持逻辑

4. 上传用户终端信息

同时，恶意驱动会获取主机的CPU核心号、硬盘的sn序列号、C盘文件夹的创建日期，最后通过一系列计算将结果上报给远端服务器，如下图所示

报告主机信息

这

用于上报主机信息的服务器地址私服传奇，如下图所示

服务器 URL

二、附录

示例哈希