传奇私服隐藏病毒劫持用户流量

近日寻宝网，火绒安全工程师截获了一种通过传奇传播的病毒。 该病毒可以通过C&C服务器下发任意恶意模块，也可以将病毒服务器设置为代理服务器，通过篡改用户流量来推广病毒作者自己的传奇私服。 用户访问传奇相关网页时，会被劫持到病毒作者自己的传奇私服，如下图：

病毒作者自己的传奇私服

火绒安全工程师分析，该病毒可以通过C&C服务器传递任意恶意模块，不排除后续传递其他恶意模块的可能性。 分布式恶意模块会长期驻留在中毒用户电脑中，开机自动启动，以“白加黑”方式调用恶意代码模块，注入系统进程执行恶意行为。

广大游戏玩家要注意，私服登录设备经常会出现木马、后门等病毒。 玩家下载安装后，可能面临网页劫持、个人隐私数据泄露等不同危害，严重侵犯用户隐私和资产安全。 因此，工程师提醒玩家提高警惕。

火绒安全产品可以对传奇服务器携带的病毒进行拦截查杀：

被植入传奇的服务器列表

病毒查杀图

病毒的执行流程如下图所示：

病毒执行过程

以“梁山好汉=登陆者”为例进行分析

一

样本分析

进入游戏后会释放并执行恶意模块.exe。 火融剑监控的行为图如下图所示：

Sword 监控的行为图

恶意.exe会根据配置文件加载远程恶意.dll及相关代码，如下图所示：

远程加载恶意.dll

恶意模块.dll会释放.exe（与之一个恶意模块相比，少了一个s）和.dll到C:\\\Setup\，其中.exe为带有腾讯签名的白色文件，病毒通过“白色加黑”绕过杀毒软件。 .exe签名信息，如下图所示：

.exe签名信息

.dll恶意模块的签名信息直接复制.exe的签名信息进行伪装，如下图所示：

.dll 签名信息

恶意.dll还会进行一系列操作来保证后续的恶意模块能够正确执行，例如：添加证书、设置浏览器代理、持久化操作以及相关代码，如下图所示：

添加证书、设置浏览器代理和持久化操作

修改后的浏览器配置信息如下图所示：

修改浏览器配置信息

添加的任务计划如下图所示：

添加任务计划

利用该服务启动白名单文件.exe，然后以“白加黑”的方式加载.dll执行恶意代码。 相关代码如下图所示：

通过服务启动.exe

.dll以“白加黑”的形式加载运行。 当与.dll同目录的.exe（白色文件）运行时，会调用其导出的函数""。 相关代码，如下图所示：

调用被劫持的函数

该函数运行时会解密自身内部的“.dll”恶意模块，并将其注入到系统进程中。 相关代码如下图所示：

注射

在恶意.dll中，根据服务器的配置执行恶意.dll及相关代码传奇私服发布网，如下图所示：

加载远程恶意模块.dll

恶意.dll中，为了防止证书被删除，每次启动都会检查证书是否存在。 如果证书不存在，它将重新添加证书。 相关代码如下图所示：

添加证书

并不断循环修改浏览器的代理设置和相关代码，如下图所示：

修改浏览器代理

修改后的浏览器设置如下图所示：

修改浏览器设置

被劫持的域名是其他传奇私服网站的域名。 当用户访问相关传奇私服时，会被劫持到107.148.49.141。 该地址用于向病毒作者自己的传奇私服和相关代理脚本中转，如下图所示：

相关代理脚本

二

附录

命令与控制：

样本哈希：

火绒安全成立于2011年，是一家专注、纯粹的安全公司，致力于在终端安全领域为用户提供专业的产品和用心的服务，并持续赋能外挂杀毒引擎等相关自主研发技术。 多年来，火融安防产品以“专业、洁净、轻便”的特点赢得了用户的良好口碑。 火绒企业版产品针对企业内外网络的薄弱环节，拓展企业终端管理的范围和方式，提高产品兼容性和易用性，最终实现更直观的威胁可视化和轻型管理。 全面达到保护企业信息安全的目的。