传奇私服暗藏杀精密模具制造机,“亡灵”病毒肆虐江湖

光亮管 星徽2号 评论

您需要 登录 才可以下载或查看,没有帐号? x 微信图片_20181218173158.jpg (68.11 KB, 下载次数: 9) 下载附件 2019-3-27 16:54 上传 概况 以《传奇》为代表的各大游戏私服非法运营活动长期泛?#27169;?#22312;国内游戏地下黑产圈内堪称独树一?#27169;?#22260;绕游戏暴利的争夺

您需要 登录 才可以下载或查看,没有帐号?

传奇私服暗藏杀精密模具制造机,“亡灵”病毒肆虐江湖

x

微信图片_20181218173158.jpg (68.11 KB, 下载次数: 9)

下载附件  

2019-3-27 16:54 上传


概况
        以《传奇》为代表的各大游戏私服非法运营活动长期泛?#27169;?#22312;国内游戏地下黑产圈内堪称独树一?#27169;?#22260;绕游戏暴利的争夺导致各大私服运营者之间斗争加剧,频繁利用网络劫持、DDOS等技术手段进行”攻城掠地?#20445;?#25152;以私服客户端一直都是顽固病毒家族繁殖传播的沉疴宿?#30149;?#20026;了对抗竞争者、外?#28082;?#23433;全厂商,私服客户端经常捆绑各类Rootkit/Bootkit类顽固病毒,并且盗用冒用正常软件数字签名逃避查杀防御,采用VMP等虚拟机强壳保护对抗分析。作为刚性强需求,普通游戏?#27809;?#20250;往往无视安全软件查杀拦截提示,反而主动放行恶意驱动模块的加载,最终导致网络浏览异常、系统蓝屏?#35272;!?#24863;染盗号木马等严重安全后果。
        近期,毒霸安全团队通过?#23433;斗紜?#31995;统再次监测到一类劫持Rootkit病毒家族的活跃迹象,该病毒家族主要通过各类私服客户?#31169;?#34892;捆绑传播,主要通过TDI过滤、DNS劫持、HTTP(s)注入、HOSTS重定向等技术手法篡改?#27809;?#31995;统网络数据包,将正常网页访问劫持引流至指定私服网站,并利用安全软件云查杀数据包屏蔽、关机回调重写等手段实现对抗查杀,此外,该家族还针对私服运营竞争对手常用的病毒驱动签名进行屏蔽对抗,实现长期稳定劫持控制?#27809;?#30340;目的。
        根据其模块pdb路径中的项目名称”fk_undead?#20445;?#25105;们将其命名为”亡灵”家族。?#28216;?#20204;的长期监控数据看,该家族近两年非常活跃,从2017年初开始盗用正规厂商数字签名频繁变种传播,本次变种版本最早出现于2018年10左右,?#22771;?#35813;家族呈现活跃趋势,全网累计感染量预估超过50万。


技术分析
        该病毒的主要运行流程如下:

image1.png (195.57 KB, 下载次数: 4)

下载附件  

2019-3-27 16:44 上传



        病毒驱动从恶意传奇私服客户端层层释放而来,根据系统版本的不同,最?#24080;?#25918;不同的驱动文件,我们以其中一个样本为例。
?#27809;?#25171;开传奇私服客户端之后,程序释放ntprint.exe到TEMP目录下,ntprint.exe主要负责上报相关配置信息到指定服务器,上报完成后会下载:11153/msvcdlx*.dat到本地,而这个msvcdlx*.dat又会下载4个驱动文件到本地,这4个驱动文件的大致用途如下:

image2.png (44.71 KB, 下载次数: 8)

下载附件  

2019-3-27 16:44 上传



(1) mstxdlx*.dat
以64位系统下释放的驱动(mstxdlx64.dat)为例,它主要的作用是通过劫持?#27809;?#30005;脑的网络以及篡改相关系统配置,从而达到拦截杀软云查询以及劫持HTTP的正常访问,具体实现方式如下:
A、 注册TDI回调函数,过滤收发包
病毒驱动加载后,对TDI_SEND和TDI_SET_EVENT_HANDLER进行了处理,前者主要是负责网络数据的发包,后者则是负责对接收到网络数据进行处理,对这两个地方进行过滤处理之后,带来的效果就是访问A域名,?#23548;?#25171;开的却是B网站。
在TDI_SEND中,通过检测360与其云端的通讯时的关键字段“x-360-ver:?#20445;?#20013;断云查询,从而造成云查杀的失效:

image3.png (85.72 KB, 下载次数: 6)

下载附件  

2019-3-27 16:44 上传





在TDI_SET_EVENT_HANDLER中,收到符合规则的请求响应数据后,病毒直?#26377;?#25913;数据包,嵌入相应的HTML框架代码进行劫持,劫持后效果如下:

image4.png (437.2 KB, 下载次数: 4)

下载附件  

2019-3-27 16:44 上传




以下则是被篡改插入的数据包代码:

image5.png (45.01 KB, 下载次数: 5)

下载附件  

?#19981;?(0) or 分享 (0)
发表我的评论
取消评论

表情

您的回复是我们的动力!

  • 昵称 (必填)
  • 验证码 点击我更换图片

网友最新评论

阿尔萨德vs柏斯波利斯
时时彩一天赚2000技巧 为什么时时彩先赢后输 naliyou黑龙江时时 福建31选7开奖结果今晚的 重庆时时彩宝典老版本 辽宁12选五遗漏 足彩任九投注规则 新疆时时三星和值走势图 我要下载山东老十一选五 瑞典二分彩开奖官网 pk赛车稳定计划 云南11选5开奖现场 最全的11选五 腾讯分分彩全天走势图统计 赛车pk拾投注技巧 甘肃11选5计划