火绒安全软件

火绒安全播报
发新帖
打印 上一主题 下一主题

[分析报告] 游戏党注意!Rootkit病毒新变种通过私服登录器传播

[复制链接]
3049 24
楼主
发表于 2022-7-15 21:18:00 | 只看该作者 |只看大图 |倒序浏览 |阅读模式
跳转到指定楼层
近日,火绒安全实验室发现一种新型Rootkit病毒新变种,该病毒利用传奇私服登录器进行传播,用户中毒后桌面上会出现名为“JJJ发布站”的快捷方式,并且删除后会重新被释放到桌面。当用户访问传奇相关的网页时,会被劫持到病毒作者预设的劫持网页。且该Rootkit病毒会通过文件自保对抗安全软件查杀,还会将系统版本和计算机名等终端信息上传到病毒服务器。

病毒创建的快捷方式,如下图所示:
推广快捷图标
快捷方式指向的推广网页,如下所示:

推广页面

火绒安全产品已对传奇私服登录器以及其携带的恶意模块进行拦截查杀。已感染该病毒的用户,可使用火绒专杀工具清除病毒,并重启电脑后使用火绒【快速扫描】功能彻底查杀该病毒。
(专杀下载地址: https://bbs.huorong.cn/thread-18575-1-1.html  )

Rootkit是一种系统内核级病毒,其进入内核模块后能获取到操作系统高级权限,从而隐藏和保护自身,以绕开安全软件的检测和查杀。不少Rootkit病毒会利用网络游戏私服登录器携带的恶意模块进行激活,火绒安全提醒广大游戏玩家要格外留意。

火绒安全查杀图
病毒分析
当用户访问传奇相关的网页时会被劫持到病毒作者预设的推广网页,如:当访问hxxps://www.zsf.com/时,会被劫持到 hxxps://hebav.today/default/,相关代码,如下图所示:

劫持相关代码

病毒驱动会将恶意代码注入到Lsass.exe和Svchost.exe两个系统进程中,伪装成系统进程来执行恶意程序,相关代码,如下图所示:

注入代码

被注入的恶意代码会检测360和腾讯电脑管家,并且还会将一些终端信息上传到病毒服务器如:系统版本和计算机名等信息。相关代码,如下图所示:

收集本机相关信息

附录

病毒HASH

评分

参与人数 1金钱 +5 收起 理由
三好霸霸 + 5 内容超赞!!!

查看全部评分

回复

使用道具 举报

头像被屏蔽
3049 24
沙发
发表于 2022-7-16 07:21:54 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

头像被屏蔽
3049 24
板凳
发表于 2022-7-16 08:27:40 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

3049 24
地板
发表于 2022-7-16 20:33:53 | 只看该作者
我下载地址打不开!求攻城师传一个qq1151072820
回复

使用道具 举报

3049 24
5#
发表于 2022-7-16 20:50:02 | 只看该作者
我的电脑已经中招  跟你说的一摸一样  下载地址打不开 楼主联系我qq1146749615
回复

使用道具 举报

3049 24
6#
发表于 2022-7-17 08:05:28 | 只看该作者
笔记本中招了,用的是自带的联想电脑管家结果查不出来这个病毒,查了一下联想电脑管家用的是火绒的内核和病毒库啊为什么会查不到。
帖子里的专杀链接也404打不开,qq 200652015 希望攻城狮能发我一个专杀工具。万分感谢!!

PS:另外帖子里说病毒还会将一些终端信息上传到病毒服务器如:系统版本和计算机名等信息。等里面包含:各种社交游戏软甲的账号密码吗,我现在很慌- -求解答
回复

使用道具 举报

3049 24
7#
发表于 2022-7-17 09:34:21 | 只看该作者
282298747 发表于 2022-7-16 20:33
我下载地址打不开!求攻城师传一个qq1151072820

您好,工作人员会尽快加您QQ,请您注意查收~
回复

使用道具 举报

3049 24
8#
发表于 2022-7-17 09:34:25 | 只看该作者
三好霸霸 发表于 2022-7-17 08:05
笔记本中招了,用的是自带的联想电脑管家结果查不出来这个病毒,查了一下联想电脑管家用的是火绒的内核和病 ...

您好,工作人员会尽快加您QQ,请您注意查收~
回复

使用道具 举报

3049 24
9#
发表于 2022-7-17 09:34:30 | 只看该作者
c188 发表于 2022-7-16 20:50
我的电脑已经中招  跟你说的一摸一样  下载地址打不开 楼主联系我qq1146749615 ...

您好,工作人员会尽快加您QQ,请您注意查收~
回复

使用道具 举报

3049 24
10#
发表于 2022-7-17 11:16:26 | 只看该作者
打不开 提示404了。能加QQ发一份嘛 楼主。 QQ 315592888
回复

使用道具 举报

3049 24
11#
发表于 2022-7-17 11:21:05 | 只看该作者
多么可笑 发表于 2022-7-17 11:16
打不开 提示404了。能加QQ发一份嘛 楼主。 QQ 315592888

您好,工作人员会尽快加您QQ,请您注意查收~
回复

使用道具 举报

3049 24
12#
发表于 2022-7-17 12:34:27 | 只看该作者
火绒运营专员 发表于 2022-7-17 11:21
您好,工作人员会尽快加您QQ,请您注意查收~

专杀工具帖子链接最后有误 请尽快更正
回复

使用道具 举报

3049 24
13#
发表于 2022-7-17 12:43:39 | 只看该作者
火绒安全员  我的电脑已经中招了 只有搜索传奇私服发布网 点开私服网站里的任意链接  都会跳转到指定的那几个传奇网站 杀毒不管用楼主多多指导一下 你的链接打不开404显示  我的QQ1146749615
回复

使用道具 举报

3049 24
14#
发表于 2022-7-17 12:52:03 | 只看该作者
纷扰的互联网 发表于 2022-7-17 12:34
专杀工具帖子链接最后有误 请尽快更正

火绒安全员  我的电脑已经中招了 只有搜索传奇私服发布网 点开私服网站里的任意链接  都会跳转到指定的那几个传奇网站 杀毒不管用楼主多多指导一下 你的链接打不开404显示  我的QQ1146749615
回复

使用道具 举报

3049 24
15#
发表于 2022-7-17 13:03:17 | 只看该作者
c188 发表于 2022-7-17 12:52
火绒安全员  我的电脑已经中招了 只有搜索传奇私服发布网 点开私服网站里的任意链接  都会跳转到指定的那 ...

您好,专杀链接已更新,您可以重新访问看下是否还有问题~
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表