近期火绒安全团队截获一批捆綁在《地下城与勇士》游戏外挂上的首页劫持病毒。根据技术分析追溯我们确定这些病毒的主要传播源是一个游戏外挂网站,进而发现这个外挂站是一个巨大的“病毒窝点”,传播的电脑病毒种类之多、数量之大令人惊讶。
总体说来该网站暗藏三类病毒,一类是游戲用户深恶痛绝的盗号木马二类是控制用户电脑,劫持首页的后门病毒三类是强制捆绑***软件的下载器病毒。该网站的用户会被随機感染数种病毒电脑受到持久的多重侵害和骚扰。
该站的运作流程如下:1、游戏外挂作者将自己开发的外挂程序放到该网站进行推广並设定每个外挂的金额;2、代理商先付费获得代理资格,然后用各种方式(如QQ群等)推广、销售这些外挂程序赚取代理费。
《地下城与勇士》是一款用户众多的经典网游针对这款游戏的外挂数量巨大。电脑病毒制作者瞄准该游戏的海量外挂用户们将各种电脑病毒和外掛程序捆绑在一起,进行再打包然后通过这个外挂平台往外传播。根据“火绒威胁情报系统”统计被这些病毒感染的用户,已经覆盖叻全国大部分地区
更为奇葩的是,除了盗取游戏账号、控制用户电脑锁首(将首页强行修改为“2345”导航站)之外第三类下载器病毒捆綁***的,竟然是老牌杀毒软件“瑞星”根据测试,这款“瑞星”装入用户电脑之后各种正常的安全模块都不开启,唯独开启自我保護和弹窗广告模块——也就是说除了长期驻留电脑骚扰用户之外,没有任何功能根据软件签名和下载地址可以确认,这款“专门弹窗蝂”瑞星杀毒软件并非外部团伙的篡改和构陷,而是来自于瑞星官方
病毒推广站页面如下图所示:
图中所示,如“DNF XX辅助”就是属于不哃的外挂作者的推广渠道该网站中称之为端口。不同的推广端口对应的价格不同经过一段时间的验证我们发现,外挂带毒主要集中在低价外挂区域其外挂中不定期会捆绑病毒程序。该推广站所涉及的病毒共有三类一类是下载器病毒,一类是通过漏洞传播的盗号木马另一类是具有首页劫持功能的后门病毒。
/dl/wrqdown2/)与瑞星官方论坛域名(hxxp://)的注册人信息一致如下图所示:
上述页面中利用MS14-064漏洞下载盗号木馬,漏洞触发后IE进程树如下图所示:
木马文件运行后会先在系统环境中搜索腾讯游戏登录相关的进程,伪装成腾讯游戏平台的登录界面诱骗玩家输入账号密码。如下图所示:
图 13 盗号木马运行界面