游戏党注意!Rootkit病毒新变种通过私服登录器传播

逆向病毒分析 2年前 (2022) admin
378 0 0

游戏党注意!Rootkit病毒新变种通过私服登录器传播


近日,火绒安全实验室发现一种新型Rootkit病毒新变种,该病毒利用传奇私服登录器进行传播,用户中毒后桌面上会出现名为“JJJ发布站”的快捷方式,并且删除后会重新被释放到桌面。当用户访问传奇相关的网页时,会被劫持到病毒作者预设的劫持网页。且该Rootkit病毒会通过文件自保对抗安全软件查杀,还会将系统版本和计算机名等终端信息上传到病毒服务器。

病毒创建的快捷方式,如下图所示:

游戏党注意!Rootkit病毒新变种通过私服登录器传播
推广快捷图标

快捷方式指向的推广网页,如下所示:

游戏党注意!Rootkit病毒新变种通过私服登录器传播
推广页面

火绒安全产品已对传奇私服登录器以及其携带的恶意模块进行拦截查杀。已感染该病毒的用户,可使用火绒专杀工具清除病毒,并重启电脑后使用火绒【快速扫描】功能彻底查杀该病毒。
(专杀下载地址:https://bbs.huorong.cn/thread-18575-1-1.html)

Rootkit是一种系统内核级病毒,其进入内核模块后能获取到操作系统高级权限,从而隐藏和保护自身,以绕开安全软件的检测和查杀。不少Rootkit病毒会利用网络游戏私服登录器携带的恶意模块进行激活,火绒安全提醒广大游戏玩家要格外留意。

游戏党注意!Rootkit病毒新变种通过私服登录器传播
火绒安全查杀图


游戏党注意!Rootkit病毒新变种通过私服登录器传播

病毒分析


当用户访问传奇相关的网页时会被劫持到病毒作者预设的推广网页,如:当访问hxxps://www.zsf.com/时,会被劫持到hxxps://hebav.today/default/,相关代码,如下图所示:

游戏党注意!Rootkit病毒新变种通过私服登录器传播
劫持相关代码
病毒驱动会将恶意代码注入到Lsass.exe和Svchost.exe两个系统进程中,伪装成系统进程来执行恶意程序,相关代码,如下图所示:

游戏党注意!Rootkit病毒新变种通过私服登录器传播
注入代码
被注入的恶意代码会检测360和腾讯电脑管家,并且还会将一些终端信息上传到病毒服务器如:系统版本和计算机名等信息。相关代码,如下图所示:

游戏党注意!Rootkit病毒新变种通过私服登录器传播
收集本机相关信息


游戏党注意!Rootkit病毒新变种通过私服登录器传播

附录


病毒HASH

游戏党注意!Rootkit病毒新变种通过私服登录器传播


HUORONG
火绒安全成立于2011年,是一家专注、纯粹的安全公司,致力于在终端安全领域为用户提供专业的产品和专注的服务,并持续对外赋能反病毒引擎等相关自主研发技术。多年来,火绒安全产品凭借“专业、干净、轻巧”的特点收获了广大用户的良好口碑。火绒企业版产品更是针对企业内外网脆弱的环节,拓展了企业对于终端管理的范围和方式,提升了产品的兼容性、易用性,最终实现更直观的将威胁可视化、让管理轻便化,充分达到保护企业信息安全的目的。

原文始发于微信公众号(火绒安全实验室):游戏党注意!Rootkit病毒新变种通过私服登录器传播

版权声明:admin 发表于 2022年7月15日 下午9:14。
转载请注明:游戏党注意!Rootkit病毒新变种通过私服登录器传播 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...