私服传奇发布网:传奇私服暗藏病毒劫持用户流量

近日，火绒发布平安工程师拦截到一款病毒正通过某传奇私服登录器停止传布私服传奇发布网。

该病毒可通过CC办事器下发肆意歹意模块，还会将病毒办事器设置为代办署理办事器，通过窜改用户流量来推广病毒做者自家的传奇私服私服传奇发布用户网。当用户拜候传奇相关的网页时，会被劫持到病毒做者自家传奇私服，如下图所示：

病毒做者自家传奇私服

火绒平安工程师阐发称病毒，该病毒可通过CC办事器下发肆意歹意模块，不排除后续下发其他歹意模块的可能私服传奇发布网。 被下发的歹意模块将持久驻留在中毒用户电脑私服中，并开机自启动，操纵“白加黑”挪用网歹意代码模块以及注入系统历程的体例来施行歹意行为。

广阔游戏玩家需要留意，私服登录器照顾木马、后门及其他病毒的情况时有发作，玩家下载安拆后，可能面对网页被劫持劫持、小我隐私数据泄露等差别危害，严峻损害用户隐私和资产平安私服传奇发布网。因而，火绒工程师提醒广阔玩家进步警觉。

火绒平安产物可对以下传奇私服登录器照顾的该病毒停止拦截查杀：

被植入该病毒的传奇私服登录器列表

病毒查杀图

病毒的施行流程私服传奇发布劫持私服网，如下图所示：

以“梁山豪杰流量=登岸器”为例停止流量阐发

当进入游戏后私服传奇发布网，会释放并施行歹意模块 QQExternals.exe，火绒剑监控到的行为图，如下图所示：

歹意模块QQExternals.exe会按照设置发布装备摆设文件来加载长途歹意模块InstallCore.dll私服传奇发布网，相关暗藏代码，如下图所示：

歹意模块InstallCore.dll会释放QQExternal.exe（和第一个歹意模块比拟少了一个s）和BugRpt.dll到C:\ProgramData\Microsoft\Setup\，此中 QQExternal.exe为带有腾讯签名的白文件，该病毒通过“白加黑”的体例来绕过杀毒软件查杀私服传奇发布网。QQExternal.exe签名信息，如下图所示病毒：

BugRpt.dll歹意模块的签名信息间接复造QQExternal.exe签名信息来停止假装私服传奇发布网，如下图所示：

歹意病毒模块InstallCore.dll还会施行一系列操做来包管后续的歹意模块能准确被施行私服传奇发布网传奇私服，如：添加证书、设置阅读器代办署理、耐久化操做，相关代码，如下图所示：

修改后的阅读器的设置装备摆设信息私服传奇发布网，如下图所示：

被添加的使命方案私服传奇劫持发布网，如下图所示：

操纵传奇办事启动白名单暗藏文件QQExternal.exe私服传奇发布网，再以“白加黑“的体例加载BugRpt.dll来施行歹意代码用户，相关代码，如下图所示：

BugRpt.dll是以“白加黑“的形式被加载运行，当BugRpt.dll同目次下的QQExternal.exe（白文件）被运行时，会病毒挪用其导出函数“BR_UserInit”私服传奇发布网。相关代码，如下暗藏图所示：

当BR_UserInit函数运行后会解密本身内部的”Puppet.dll”歹意模块并注入到传奇私服系统历程WmiPrvSE中私服传奇发布网，相关代码，如下图所示：

在歹意模块Puppet.dll中私服传奇发布网，按照办事器的设置装备摆设来施行歹意模块PuppetLib.dll，相关代码，如下图发布所示：

在歹意私服模块PuppetLib.dll中私服传奇发布网，避免证书被删除，每次发布启动城市查抄证书能否存在，若是证书不存在，将从头添加证书，相关代码，如下图所示：

而且传奇不断轮回修改阅读器传奇私服的传奇私服代办署理设置私服传奇发布网，相关代码，如下图所示：

修改后的阅读器设置私服传奇发布网，私服传奇发布网:传奇私服暗藏病毒劫持用户流量，如下图所示：

被劫持的域名均为其他传奇私服站点域名私服传奇发布网，当用户拜候相关传奇私服时，会被劫持到107.148.49.141，该地址用来直达到病毒做者自家传奇私服，相关代办署理脚本，如下图所示：

附录

CC：

样本hash：

本文TAG：劫持暗藏传奇私服流量病毒劫持病毒私服传奇发布网