当前位置:主页 > 鸿蒙单职业传奇 >

传奇单职业-深入观测热血传奇私服木马:美男图片埋伏杀机!

时间:2017-07-16 18:59 来源:http://www.bubo.ws 作者:admin

 热血传奇是多年早年异常经典的收集游戏,时至今天,这个游戏依然具有很高的人气。同时,互联网上有大量的私服可以让有“情怀”的玩家重温经典。可是,正是因为这些私服异常泛滥,很轻易被一些犯上作乱的黑客操作来做一些不合法的工作,因此具有很高的安详风险。一旦运行这些私服的登录器,你的电脑很也许就会沦为“肉鸡”,任由黑客摆布。

  克日,360成都反病毒中心留意到一批可疑的热血传奇私服登录器,可疑之处在于这些登录器措施城市会见博客网址。可是,私服登录器措施中怎么会会见博客网址呢?是私服作者的博客?照旧这个私服作者手滑乱写的?它们到底有什么接洽?接下来让我们深入说明看看到底是怎么一回事。

  起首打开这个博客的网址看看,它是这个样子的

  

  会见量还不少,看来这个私服已经有不少玩家在行使。细心看看,这个博文外貌上是一些乱打出来的字符串,其拭魅这是一段加密的数据,解密出来则是一个IP地点和端口。运行私服登录器后措施会将私服的登录处事器列表URL加密后发送到这个解密出的IP地点,这里不清晰这样做的目标,也也许只是为了统计数据,重点在后头。

  登录器解密出一个图片网址:

  ****88aff36afc379311e47.jpg

  这个网址外貌上指向一个通过论坛上传的图片地点,着实图片中潜匿着大文章。这个图片的末端有大量加密后的附加数据,解密后则是一个DLL文件。当登录器解密DLL文件之后,不会把解密后的DLL文件写到磁盘上,而是直接在内存中模仿Windows的PE加载器将这个DLL加载起来并挪用名为“loadSys”的导出函数。

  

  新加载的DLL会开释文件D:\Program Files\CheatDefender\TortoiseOne.exe并运行。乍看这个可执行措施的路径,还觉得是用来反外挂的,着实并非云云。它会在内存中直接加载数据段中的一个DLL文件并挪用名为“Start”的导出函数。

  

  照旧老的套路,这个内存中加载起来的DLL会会见其它一个博客网址:

  *****.blog.163.com/blog/static/****512103327148

  博文是这个样子的:

  

  有点意思! 这个博文的会见量异常惊人,可以想象这个黑客节制了大量玩家的电脑。博文的[email protected]串,解密后同样是一个IP地点和端口,接着毗连到这个IP地点吸取数据,吸取到的数据是几个图片的URL,如下

  ********42e9.jpg

  ********e787.jpg

  ********fa41.jpg

  这几个图片差不多都是这个样子的

  

  在图片的末端包括了大量加密的附加数据,个中一个图片的附加数据解密后是一个DLL文件。同样的,这个DLL文件会直接在内存中被加载起来,同时名为“Start”的导出函数将被挪用。其它一个图片的附加数据则是一个驱动文件,这个驱动文件会以加密的情势被生涯到体系的姑且目次中。同时,登录器会在注册表中生涯相干的设置信息

  

  在操纵体系关机之前,这个驱动就会被加载起来。选择这个机缘来加载驱动是为了逃避安详软件的查杀。接下来我们来看看这个驱动。

  这是个异常恶劣的驱动,起首它会注册体系关机变乱关照

  

  在关机变乱关照处理赏罚函数中,该驱动会将内存中自身文件内容的副本生涯到新的随机路径,并写入新的驱动注册表信息来到达恶意驻留的目标,通过一样平常的本领无法将该混混驱动破除。

  

  驱动的焦点成果在于通过TDI过滤举办收集挟制。当用户会见一些特定的网页时,将被重定向到指定的网页。挟制的举动都是由云端节制的,说明时云端返回的设置信息如下:

  

  这是个被挟制的网站列表。被挟制到的网站则由博客云控,博文内容是这样的

  

  博文中的密文解密后同样是一个IP地点和端口,这个就是被挟制到的网页地点,我们会见这个IP看看,是这样的:

  

  原本是私服网页,我们再来看看网上一些用户反应的环境:

  

  ******.com就是挟制列表中的一个网址,网上尚有大量相同的题目反馈,这些用户就是由于电脑中行使了此类私服导致的。因为是驱动在体系内核中挟制的,在注册表、hosts文件等挟制收集常见的位置中均找不到任何非常。

  这些私服登录器来历不明,具有很高的安详风险,若是只是挟制几个私服网页还好,可是这样一个混混驱动恶意驻留在电脑中,完全可以转化成一个后门,作者完全随时可以把处事器上的文件换成其他的恶意措施,单职业传奇私服,那样步崆最可骇的。

  

  今朝,360安详卫士和杀毒都已能对此恶意措施举办查杀,在此360反病毒专家提示宽大用户必然要在电脑中安装安详防护软件,同时养成精采的上网风俗,审慎行使来历不明的软件。

  • 上一篇:人气打金传奇单职业-《传奇》私服运营商遭观测 涉案超60亿
  • 下一篇:单职业迷失-七大勾当 引爆封测《蓝月传奇》好汉合击传奇不灭