好玩的天龙sf(Rootkit病毒利用“天龙八部”私服传播,可劫持网页)
admin
2024-05-20
近期,火绒威胁情报系统监测到一种Rootkit病毒正通过“天龙八部”游戏私服进行传播。该病毒通过劫持用户访问的网页来推广自己的私服网站,并且具有广告推广功能。此外,其还采用多种对抗手段来对抗杀毒软件查杀,对用户构成较大威胁。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
查杀图
查杀图
用户登录“天龙八部”游戏私服后,Rootkit病毒会被释放,随后进行网页劫持、广告推广等恶意行为。用户再次访问“天龙八部”相关网页时,会跳转到指定的私服网站,该病毒的执行流程,如下图所示:
病毒执行流程图
病毒执行流程图
一、样本分析
病毒功能的分析
初始化阶段
Rootkit病毒被加载后,会先将自身复制到Driver目录下,并添加注册表启动项,相关代码,如下图所示:
复制自身到Driver并添加注册表启动项
复制自身到Driver并添加注册表启动项
之后,在驱动模块中会向C&C服务器请求配置信息,成功从C&C服务器获取配置信息后,该Rootkit病毒将这些配置信息整合并添加到各个恶意功能的链表结构中,有些配置会进行加密并保存到注册表中(网页劫持规则、要拦截的驱动列表)。在执行恶意功能时,Rootkit病毒会根据对应链表中的配置信息来确定执行的具体行为和方式。相关代码,如下图所示:
请求C&C服务器配置信息
请求C&C服务器配置信息
获取到的相关配置信息,如下图所示:
配置信息
配置信息
病毒自我保护策略
为了降低被检测和清除的可能性,该病毒将自身伪装成系统驱动pci.sys。这种伪装策略使得它在运行时能够混淆在正常系统进程中,让安全人员进行排查时容易疏忽,相关代码,如下图所示:
伪装成系统驱动
伪装成系统驱动
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权本站发表,未经许可,不得转载。
下一篇 :
没有了