火绒安全软件
标题: 游戏党注意!Rootkit病毒新变种通过私服登录器传播 [打印本页]
作者: huoronganquan 时间: 2022-7-15 21:18
标题: 游戏党注意!Rootkit病毒新变种通过私服登录器传播
近日,火绒安全实验室发现一种新型Rootkit病毒新变种,该病毒利用传奇私服登录器进行传播,用户中毒后桌面上会出现名为“JJJ发布站”的快捷方式,并且删除后会重新被释放到桌面。当用户访问传奇相关的网页时,会被劫持到病毒作者预设的劫持网页。且该Rootkit病毒会通过文件自保对抗安全软件查杀,还会将系统版本和计算机名等终端信息上传到病毒服务器。
病毒创建的快捷方式,如下图所示:
推广快捷图标
快捷方式指向的推广网页,如下所示:
推广页面
火绒安全产品已对传奇私服登录器以及其携带的恶意模块进行拦截查杀。已感染该病毒的用户,可使用火绒专杀工具清除病毒,并重启电脑后使用火绒【快速扫描】功能彻底查杀该病毒。
Rootkit是一种系统内核级病毒,其进入内核模块后能获取到操作系统高级权限,从而隐藏和保护自身,以绕开安全软件的检测和查杀。不少Rootkit病毒会利用网络游戏私服登录器携带的恶意模块进行激活,火绒安全提醒广大游戏玩家要格外留意。
火绒安全查杀图
病毒分析
当用户访问传奇相关的网页时会被劫持到病毒作者预设的推广网页,如:当访问hxxps://www.zsf.com/时,会被劫持到 hxxps://hebav.today/default/,相关代码,如下图所示:
劫持相关代码
病毒驱动会将恶意代码注入到Lsass.exe和Svchost.exe两个系统进程中,伪装成系统进程来执行恶意程序,相关代码,如下图所示:
注入代码
被注入的恶意代码会检测360和腾讯电脑管家,并且还会将一些终端信息上传到病毒服务器如:系统版本和计算机名等信息。相关代码,如下图所示:
收集本机相关信息
附录
病毒HASH
作者: 化悲痛为力量 时间: 2022-7-16 07:21
每次都是有理有据的分析,好耶!
作者: 化悲痛为力量 时间: 2022-7-16 08:27
不玩游戏是不是就不用怕了
作者: 282298747 时间: 2022-7-16 20:33
我下载地址打不开!求攻城师传一个qq1151072820
作者: c188 时间: 2022-7-16 20:50
我的电脑已经中招 跟你说的一摸一样 下载地址打不开 楼主联系我qq1146749615
作者: 三好霸霸 时间: 2022-7-17 08:05
笔记本中招了,用的是自带的联想电脑管家结果查不出来这个病毒,查了一下联想电脑管家用的是火绒的内核和病毒库啊为什么会查不到。
帖子里的专杀链接也404打不开,qq 200652015 希望攻城狮能发我一个专杀工具。万分感谢!!
PS:另外帖子里说病毒还会将一些终端信息上传到病毒服务器如:系统版本和计算机名等信息。等里面包含:各种社交游戏软甲的账号密码吗,我现在很慌- -求解答
作者: 火绒运营专员 时间: 2022-7-17 09:34
您好,工作人员会尽快加您QQ,请您注意查收~
作者: 火绒运营专员 时间: 2022-7-17 09:34
您好,工作人员会尽快加您QQ,请您注意查收~
作者: 火绒运营专员 时间: 2022-7-17 09:34
您好,工作人员会尽快加您QQ,请您注意查收~
作者: 多么可笑 时间: 2022-7-17 11:16
打不开 提示404了。能加QQ发一份嘛 楼主。 QQ 315592888
作者: 火绒运营专员 时间: 2022-7-17 11:21
您好,工作人员会尽快加您QQ,请您注意查收~
作者: 纷扰的互联网 时间: 2022-7-17 12:34
专杀工具帖子链接最后有误 请尽快更正
作者: c188 时间: 2022-7-17 12:43
火绒安全员 我的电脑已经中招了 只有搜索传奇私服发布网 点开私服网站里的任意链接 都会跳转到指定的那几个传奇网站 杀毒不管用楼主多多指导一下 你的链接打不开404显示 我的QQ1146749615
作者: c188 时间: 2022-7-17 12:52
火绒安全员 我的电脑已经中招了 只有搜索传奇私服发布网 点开私服网站里的任意链接 都会跳转到指定的那几个传奇网站 杀毒不管用楼主多多指导一下 你的链接打不开404显示 我的QQ1146749615
作者: 火绒运营专员 时间: 2022-7-17 13:03
您好,专杀链接已更新,您可以重新访问看下是否还有问题~
作者: 火绒运营专员 时间: 2022-7-17 13:03
感谢反馈,已经修改更正~
作者: c188 时间: 2022-7-17 13:11
火绒安全员 我的电脑已经中招了 只有搜索传奇私服发布网 点开私服网站里的任意链接 都会跳转到指定的那几个传奇网站 杀毒不管用楼主多多指导一下 你的链接打不开404显示 我的QQ1146749615
作者: 火绒运营专员 时间: 2022-7-17 13:15
您好,工作人员会尽快加您QQ与您详细沟通帮您看下问题~
作者: 火绒运营专员 时间: 2022-7-17 16:35
您好,您的QQ一直添加不上,麻烦您加一下工作人员的QQ:2109561508,我们详细沟通帮您看下问题~
作者: pvzpvz 时间: 2022-7-27 12:00
我只玩铁锈战争
作者: 闻xx 时间: 2022-8-12 08:32
我的电脑也中了这个病毒,但火绒查出杀毒后,又出现了,文件还是在固定位置的,已经持续半年了,文件样本还在
作者: 闻xx 时间: 2022-8-12 08:35
本帖最后由 闻xx 于 2022-8-12 08:40 编辑
运行程序为Svchost32.exe这是我的qq号2632555266
作者: 火绒运营专员 时间: 2022-8-12 09:24
已向您发送好友申请
作者: lijiea168 时间: 2022-8-15 18:21
火绒安全员 我也是只要打开私服网就会自动跳转 可为什么用专杀查Rootkit私服专杀 还是查不出来呢 是下载错了吗 可以给我传一个最新的吗 我的QQ:379544732
-
-
-
作者: 火绒运营专员 时间: 2022-8-15 18:29
已经加您啦~麻烦尽快通过~
作者: xuxu222 时间: 2022-8-22 12:43
火绒安全员 我的电脑已经中招了 只有搜索传奇私服发布网 点开私服网站里的任意链接 都会跳转到指定的那几个传奇网站 杀毒不管用楼主多多指导一下 我的QQ1114125621,谢谢您了。
作者: 火绒运营专员 时间: 2022-8-22 12:52
已向您发送好友申请
作者: 火绒运营专员 时间: 2022-8-22 16:55
您好,经排查该病毒清理不掉可能是专杀版本过久导致,由于长时间未获得您对此问题的相关反馈,这边就不继续跟进了,如果在后续使用火绒过程中遇到问题可随时联系我们为您解决,感谢您的反馈
作者: ewok 时间: 2022-8-22 18:33
火绒安全员 我的电脑已经中招了 只有搜索传奇私服发布网 点开私服网站里的任意链接 都会跳转到指定的那几个传奇网站 杀毒不管用楼主多多指导一下 我的QQ345328644,谢谢您了。
作者: ewok 时间: 2022-8-22 19:00
火绒安全员 我的电脑已经中招了 只有搜索传奇私服发布网 点开私服网站里的任意链接 都会跳转到指定的那几个传奇网站 杀毒不管用楼主多多指导一下 我的QQ345328644,谢谢您了。
作者: 火绒运营专员 时间: 2022-8-22 19:03
好的会在明日进行添加
作者: 火绒运营专员 时间: 2022-8-22 19:17
已对您的问题进行跟进~
作者: ewok 时间: 2022-8-22 19:52
火绒安全员 我的电脑已经中招了 只有搜索传奇私服发布网 点开私服网站里的任意链接 都会跳转到指定的那几个传奇网站 杀毒不管用楼主多多指导一下 我的QQ345328644,谢谢您了。
作者: shoutkill 时间: 2022-8-23 09:22
HEUR:Rootkit/Agent.e如何清除?火绒一直提示,无法根除,用专杀工具杀过,也不行,重启还是有。火绒、360全盘杀毒也杀过,不管用。开机自动将360和火绒服务关闭。
作者: 火绒运营专员 时间: 2022-8-23 09:27
请您留一下QQ联系方式,这边协助您处理
作者: 火绒运营专员 时间: 2022-8-23 10:16
您的问题已由工程师协助解决,感谢您的反馈
作者: xuxu222 时间: 2022-8-24 12:37
您好,我的网站只要打开其它的传奇网站,自动跳转到别的
作者: 火绒运营专员 时间: 2022-8-24 12:40
您好,请您使用专杀工具https://bbs.huorong.cn/thread-18575-1-1.html+系统修复处理试试
作者: xuxu222 时间: 2022-8-24 12:43
火绒安全员 我的电脑已经中招了 只有搜索传奇私服发布网 点开私服网站里的任意链接 都会跳转到指定的那几个传奇网站,请帮我修复下,我的QQ76350224
作者: 火绒运营专员 时间: 2022-8-24 14:02
稍后加您,麻烦通过一下
作者: a64900253 时间: 2022-8-24 16:06
火绒安全员 我的电脑已经中招了 只有搜索传奇私服发布网 点开私服网站里的任意链接 都会跳转到指定的那边 专杀工具下载了杀了好几次还是这样该怎么办
作者: 火绒运营专员 时间: 2022-8-24 17:09
您好,麻烦留下Q这边帮您解决一下。
作者: 火绒运营专员 时间: 2022-8-25 08:53
已再次加您,麻烦通过一下
作者: 火绒运营专员 时间: 2022-8-25 09:47
您的问题已解决,后续有火绒相关问题您再反馈
作者: ailien 时间: 2022-8-25 12:04
本帖最后由 ailien 于 2022-8-25 12:09 编辑
哪位大佬救急,电脑歇逼了好几天了,怎么杀毒都杀不了,杀好重启就产生新的,一直循环,连安全服务都异常。现在打英雄联盟都不行了,一直安全检查通不过。QQ:138288212
作者: 火绒运营专员 时间: 2022-8-25 12:07
好的稍后会进行添加~
作者: 火绒运营专员 时间: 2022-8-25 13:38
您好,麻烦留下Q这边帮您解决一下。
作者: a64900253 时间: 2022-8-26 00:35
好的安全员我的Q513705177
作者: 火绒运营专员 时间: 2022-8-26 09:22
已向您发送好友申请
作者: 火绒运营专员 时间: 2022-8-26 16:20
您的问题已由工程师协助解决,感谢您的反馈
作者: 私服病毒很烦 时间: 2022-8-27 12:21
火绒安全员 我的电脑中招了,好烦啊,每次重启都会生成病毒 杀不完的病毒。打开传奇网站直接就给我跳过去了,帮忙救济一下啊 我的QQ171501206 万分感谢
作者: 火绒运营专员 时间: 2022-8-27 12:32
您好,已发送好友申请,麻烦同意一下~
作者: huang001 时间: 2022-8-27 13:00
火绒运营专员,出现了相同的状况 能否加个QQ939165091,帮我看下 万分感谢
作者: 火绒运营专员 时间: 2022-8-27 13:04
您好,已发送好友申请~
作者: g_pass 时间: 2022-8-27 19:08
查杀后买还是不行,帮忙处理下,QQ:2291366411
作者: 火绒运营专员 时间: 2022-8-28 09:39
您好,工作人员会尽快加您QQ,请您注意查收~
作者: lspltjt 时间: 2022-8-28 10:35
我的电脑已经中招 跟你说的一摸一样 楼主请联系我QQ:47787687
作者: 火绒运营专员 时间: 2022-8-29 14:08
已再次添加您,麻烦通过一下
作者: x1995216 时间: 2022-8-29 22:50
无法清除。反复查杀好几遍。没用
作者: xuxu222 时间: 2022-8-29 23:48
只有搜索传奇私服发布网 点开私服网站里的任意链接 都会跳转到指定的那几个传奇网站 杀毒不管用楼主多多指导一下 你的链接打不开404显示 我的QQ3568146665
作者: 火绒运营专员 时间: 2022-8-30 09:19
您好,麻烦留下Q这边帮您解决一下。
作者: 火绒运营专员 时间: 2022-8-30 09:22
已向您发送好友申请
作者: 火绒运营专员 时间: 2022-8-30 13:35
您好已多次加您好友,看您长时间未通过,这边暂时不跟进了,后续火绒相关问题您再反馈~
作者: w3875498 时间: 2022-8-30 19:17
就是玩传奇玩的 还自动跳那个网站 按照您的方法 一直还是有内核病毒 查杀不掉 求加QQ解决 545358946
作者: 火绒运营专员 时间: 2022-8-30 19:19
明日会进行添加麻烦您留意下验证信息~
作者: w3875498 时间: 2022-8-31 01:29
还没有加我啊
作者: 火绒运营专员 时间: 2022-8-31 08:55
已加您,麻烦通过一下
作者: 火绒运营专员 时间: 2022-9-1 10:13
您的问题已解决,后续火绒相关问题您再反馈
作者: 火绒运营专员 时间: 2022-9-2 15:33
您好,这边多次添加您没有通过,就不继续跟进了,如果在后续使用火绒过程中遇到问题可随时联系我们为您解决,感谢您的反馈
作者: Colin_zjq 时间: 2022-9-2 17:52
工程师可以写个代码一直去卡这病毒的服务器吗
觉得太病毒可恨了可惜我不会写
把他服务器卡爆才好呢
作者: 火绒运营专员 时间: 2022-9-6 16:51
您的问题已由工程师协助处理,感谢您的反馈
作者: 木鱼与鱼 时间: 2022-9-8 13:50
已中招,专杀工具,全盘扫描都查不到病毒,请求支援QQ573374884
作者: 火绒运营专员 时间: 2022-9-8 14:00
已向您发送好友申请
作者: 火绒运营专员 时间: 2022-9-9 17:06
您好,由于长时间未获得您对此问题的相关反馈,就不继续跟进了,如果在后续使用火绒过程中遇到问题可随时联系我们为您解决,感谢您的反馈
作者: djp800 时间: 2022-10-16 19:16
求助! 我电脑已经中招,昨天用专杀工具和全盘扫描都没用,现在还是这个问题。QQ171728730
作者: 火绒运营专员 时间: 2022-10-17 09:35
已向您发送好友申请
作者: a35157230 时间: 2022-10-20 01:04
火绒安全员 我的电脑中招了,用火绒查杀,也下了专杀杀了好几次都没用,还是只要进私服网站,自动跳转那几个页面,我的qq35157230
作者: a35157230 时间: 2022-10-20 01:07
已经中招,多次专杀都没用,qq35157230
作者: 火绒运营专员 时间: 2022-10-20 09:26
已向您发送好友申请
作者: 宇宙最酷炫 时间: 2022-10-20 11:00
电脑总是自动安装软件 然后浏览器总是自动弹出抖音和各种游戏网页 还有会把这些游戏网址弄到桌面上变成快捷方式
作者: 火绒运营专员 时间: 2022-10-20 17:30
您的问题已由运营协助解决,感谢您的反馈
作者: v199110 时间: 2022-11-11 07:21
霸霸救我
,无限跳转,查杀找不到,qq1305390009
作者: 火绒运营专员 时间: 2022-11-11 09:09
稍后加您,您留意验证消息
作者: psc789 时间: 2022-11-11 19:04
确实 , 我的电脑已中招了,现在正查毒,C盘已杳杀4个,其它盘正在查,不过还好,火绒是好帮手,所以不怕,杀了它
作者: 81285343 时间: 2022-11-12 21:09
下载专杀工具杀过了 重启快速杀毒 依旧 1分钟弹一次 之前玩传奇私服 后来没玩了 好像网站也会跳转 QQ:81285343 麻烦了
-
作者: 火绒运营专员 时间: 2022-11-13 10:32
已发送好友申请~
| 欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) |
Powered by Discuz! X3.4 |
