又一款传奇私服利用Rootkit病毒进行推广 - 〖系统安全〗

z3960

级别: FLY版主

发帖: 786266

飞翔币: 209887

威望: 215717

飞扬币: 2613103

信誉值: 8

只看楼主更多操作 0 发表于: 2023-10-24

— 本帖被任逍遥执行锁定操作(2024-06-28) —

近日，火绒收到多位用户反馈，电脑频繁报毒、网页被劫持等问题，经排查发现是传奇私服捆绑Rootkit病毒导致。该病毒通过篡改用户流量来推广自己的传奇私服，不仅使用多种对抗手段，还伪装成系统驱动等来隐藏自身，对用户构成较大的威胁。用户登录传奇私服客户端后，该病毒会通过黑加白文件释放 Loader驱动，再通过 Loader 驱动来下载、加载劫持驱动，以拦截杀毒软件驱动和专杀工具的进程。随后，其会根据C&C服务器配置信息来修改受害者电脑代{过}{滤}理、DNS等系统设置，使用户访问传奇相关的网页时，跳转到指定传奇私服。该病毒执行流程，如下图所示：

病毒的执行流程图目前，火绒安全产品可对上述病毒进行拦截查杀。已感染该病毒的用户，可先使用火绒专杀工具进行扫描，再使用火绒【系统修复】和【全盘查杀】功能，重启电脑后即可彻底清除该病毒。

查杀图一、样本分析当传奇私服启动一段时间后，会通过释放出黑加白文件的方式来绕过杀毒软件查杀，火绒剑监控到的行为，如下图所示：

火绒剑监控到的行为BugRpt.DLL启动后，会创建一个线程循环尝试寻找360卫士关闭窗口的位置，通过模拟鼠标点击来关闭360卫士，相关代码，如下图所示：

关闭360卫士之后BugRpt.DLL释放Loader驱动，通过Loader驱动来下载、加载Rootkit病毒，相关代码，如下图所示：

下载、加载Loader驱动在Loader驱动中，会从C&C服务器下载、加载Rootkit病毒，相关代码，如下图所示：

下载、加载Rootkit病毒该Rootkit病毒会根据C&C服务器配置信息来修改受害者电脑代{过}{滤}理、DNS等系统设置，当用户访问传奇相关的网页时，会被劫持到病毒作者指定传奇私服，并且该病毒使用VMProtect保护壳进行加密，以及多种内核对抗手段来拦截杀毒软件进程和驱动。该Rootkit病毒启动后，会添加模块加载回调函数和进程加载回调函数来拦截杀毒软件的驱动和进程。相关代码，如下图所示：

添加模块加载回调函数和进程加载回调函数在模块加载回调函数中会计算驱动文件的签名以及MD5，如果为相关杀毒软件的驱动，就会阻止杀毒软件驱动的加载，相关代码，如下图所示：

模块加载回调函数中拦截驱动会被拦截的驱动签名列表，其中一些看起来像是人名，如下图所示：

会被拦截的驱动签名在进程加载回调函数中通过匹配进程名以及MD5来终止专杀工具进程，相关代码，如下图所示：

进程加载回调函数中终止专杀工具进程之后该Rootkit病毒会创建多个线程来实现各种恶意功能，有很多线程都是空的，猜测该病毒更多恶意功能还在开发当中，相关代码，如下图所示：

创建多个线程在线程一中来请求服务器配置信息，在其他线程中会根据配置信息来修改受害者电脑的代{过}{滤}理以及DNS设置。C&C服务器的地址是由www.zhao123ookk.com或[url=www.777fffhhh.com]www.777fffhhh.com[/url]域名对应的IP地址来决定如：www.zhao123ookk.com域名对应的IP是51.88.1.11，C&C服务器的地址为http://hebv.5188111.top:5858/posn.cnf，相关代码，如下图所示：