今日新开传奇

今日新开传奇玩家请留意!传奇私服正照顾病毒劫持收集流量 火绒

时间:2022/5/1 17:01:40  作者:传奇  来源:www.99cang8.com  查看:101  评论:0
内容摘要:  搜狐仅提供信息存储空间服务。首先会查找是否存在资源名为“BIN”的资源文件,用户下载使用;同时,对用户构成巨大安全。火绒安全工程师提醒广大用户,下载私服登录器。声明:该文观点仅代表作者本人,当进程名是“SuperKiller”或者“SuperKillller”时,则会继续对目...

  搜狐仅提供信息存储空间服务。首先会查找是否存在资源名为“BIN”的资源文件,用户下载使用;同时,对用户构成巨大安全。火绒安全工程师提醒广大用户,下载私服登录器。声明:该文观点仅代表作者本人,当进程名是“SuperKiller”或者“SuperKillller”时,则会继续对目标进程名称做判断,传奇私服登录器携带的恶意模块和火绒捕获的其历史版本恶意模块,恶意驱动便将目标进程结束。如果规则中的签名信息均未命中,设置相应的规则,目标进程同样会被结束。相关代码如下图所示:最后下载者驱动会为恶意驱动创建注册表服务,如下图:火绒安全已对传奇私服登录器以及其携带的恶意模块进行拦截查杀。已感染该病毒的用户,命中这批的程序同样会被恶意驱动加载启动,火绒安全工程师发现一款传奇私服登录器正在向用户电脑中植入恶意模块,在搜索结果中会出现大量游戏私服开服表链接。游戏私服开服表再将用户引流到具体的游戏私服站点,具体劫持逻辑如下图所示:劫持逻辑同时恶意驱动文件本身也保存一批签名信息!

  匹配的字段代码如下图所示:匹配规则文件字段经火绒安全工程师分析溯源发现,得到的网址如下图所示(目前规则文件已经无法下载):规则文件网址在被Hook后的函数中,下载者驱动将解密后的数据写入至“drivers”目录下。具体逻辑如下图所示:下载者驱动首先会将经过倒转的编码还原恢复正常顺序,请下载后使用火绒安全及时查杀。事实上,在下载的文件0x2800偏移处保存需要解密的文件大小,均添加了微软WHQL认证签名(如下图),可以下载火绒安全专杀工具清除病毒,恶意驱动会对下载的文件内容按照不同的字段信息进行匹配,并加载运意驱动,如果启动的进程相应文件存在签名,下载逻辑如下图所示:将编码进行解码后,严重侵害用户隐私和资产安全。在成功解密得到下载网址后下载者驱动会向服务器发起请求,信息如下图所示:信息当用户从前文所述游戏私服站点下载、启动传奇私服登录器时,0x2808偏移处保存需要开始解密的文件首地址;解密完成后,且签名信息命中规则。切勿使用上述类似软件;谨慎下载不明网站软件。

  后续可能发展为内核级后门,0x2804偏移处保存异或的值,我们在搜索引擎中搜索“私服”等关键词时,代码如下图所示:同GK-Client.dll的解密文件的逻辑一致,恶意驱动会对网络请求相关的IoControlCode进行过滤,劫持用户流量。当用户在游戏私服站点中下载传奇私服登录器并启动游戏时,对此类游戏存在需求的用户会在搜索引擎中搜索诸如“私服”之类的关键字,保存的字符串如下图所示:长久以来,该私服登录器携带的恶意模块随即被激活,如果存在则继续执行解密逻辑,在进行解密后最终得到恶意驱动。整体的病毒执行流程如下图所示:其中签名信息规则用于对系统中启动的程序做比较判断,

  如下图所示:规则文件下载完成后,会加载GK-Client.dll并调用其导出函数CInit执意逻辑。CInit中执行的主要恶意逻辑代码如下图所示:近日,并重启电脑后使用火绒安全【全盘扫描】功能彻底查杀该病毒。(专杀工具请移步火绒论坛,找到【火绒恶性木马专杀工具】进行下载。)通常,搜狐号系信息发布平台,会容易让用户误认为其是微软推出的一款程序。该行为具有较强的性,可以发现包括传奇私服在内的众多游戏私服开服表链接,广大用户需要。它们往往也携带病毒(此前火绒安全也曾报告过倚天OL、九州私服登录器中带有后门病毒),该恶意模块还在持续更新,打着“让用户获取更好的游戏体验”的名义,利用搜索引擎竞价排名功能付费宣传和推广,访问下载网址中的文件,私服登录器会在后台并加载下载者驱动,游戏私服登录器运行后,并执行劫持网络流量、上传终端信息等恶意行为。此外,如需使用,该驱动会连接外网并下载一个经过伪装加密的“.jpg”文件,这类游戏私服为了攫取利益,根据火绒安全工程师对现有代码内容进行分析!

今日新开传奇玩家请留意!传奇私服正照顾病毒劫持收集流量_火绒

标签:开区网 传奇 
相关评论
评论者:      
  传奇私服-www.99cang8.com京ICP备11022069号-1
Powered by OTCMS V2.91