-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2025-05-02
- 在线时间18634小时
-
- 发帖786294
- 搜Ta的帖子
- 精华0
- 飞翔币209891
- 威望215717
- 飞扬币2613068
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 786294
- 飞翔币
- 209891
- 威望
- 215717
- 飞扬币
- 2613068
- 信誉值
- 8
|
近日,有用户反馈使用一款传奇私服游戏后无法多次尝试修改注册表AutoConfigURL项,如下图所示:  该用户提供的是传奇私服网站下载地址,如下图所示: 我们发现样本“永恒大陆V2.1.exe”会在当前安装目录下创建一个PlugIn文件夹并释放文件cz_m.dll该dll可以直接通过rundll32执行,执行之后会往安装盘根目录释放一个01.exe(使用华为的无效数字签名),如下图所示:   01.exe双击后可见恶意驱动被注册,如下图所示:   运行完成之后成功复现连接gwww.dkrjfvz.com:2508/baidu.txt(用户端被强制劫持的AutoURL项): 之后我们发现,在 Windows 7 环境下执行恶意行为病毒会与u.wgd3ow.xyz尝试建立通信,而在 Windows 10 环境下执行恶意行为病毒会与a.qrltgx.icu尝试建立通信通过威胁情报查询,我们发现了大量同源样本(此处不一一呈现或者进行说明),行为基本一致,如下图所示:  第二天再次进入该下载地址下载样本后,发现样本压缩包哈希发生变化,解压之后发现样本“永恒大陆V2.1.exe”哈希再一次发生变化新样本仍然是在PlugIn文件夹下释放恶意dll模块,文件名变化为xr_m.dll,新旧样本对比图如下图所示:    样本执行流程图,如下图所示:
|
