网安传奇外挂

FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
传奇外挂携带恶意病毒Strkon，劫持用户主页及流量 0zapt4toM2018-04-09金币奖励+10共234058人围观，发现 7 个不明物体 WEB安全
近期，我们检测到一款名为“万千辅助”的传奇外挂(官网：hxxp://www.wanqianfz.com)，携带恶意病毒驱动，我们将该病毒命名为Strkon，该病毒通过劫持用户浏览器主页和各大网站流量，从而牟取暴利。

1522510366(1).jpg

传播途径
其官网提供收费版和免费版两个版本的辅助程序，并且与一款名为“传奇通用变速器”(官网：hxxp://www.xinbiansu.com)的程序捆绑下载，这几款软件中均携带Strkon病毒。

我们在官网还找到了推广的QQ群(172723801)，群内有管理人员定期推广新的辅助下载地址和更新方式，以下是我们跟进此病毒以来所涉及到的用来推广的域名和QQ群。

tuigurl.png

病毒样本浅析：(我们会继续深入分析此病毒，请期待详细分析篇)
该病毒整体逻辑如下图所示，受害者通过病毒推广网站下载”万千辅助”客户端，会同时下载”传奇通用变速器”，这几款软件皆携带Strkon病毒,在运行辅助客户端或者变速器时，会释放Strkon并加载，该病毒驱动负责锁定用户浏览器主页和劫持必应等网站流量，同时会同远程的C&C服务器进行通信，获取更新和要执行的病毒策略。

flow.png

Strkon(SHA1:93ec2e1f0cbe7f64c8ef3b8b17257bc9e49e2085)文件属性如下：

shuxing.png

A,劫持主页
该病毒每天会向远程C&C服务器(http://xxxx.com/yun2016/xinzhuye.txt)获取要劫持的新主页网址，并且劫持用户浏览器主页，被劫持的浏览器列表如下：

browser.png

首页被劫持为(包含但不仅限于 www.szsplw.com, www.snwcct.com,www.gyajzx.com)传奇私服入口，以及传奇辅助与各种加速器的推广页面。，劫持后主页如下图所示：

jack_site.png

B,劫持DNS
病毒会向C&C服务器获取要替换的DNS配置，并替换本地DNS设置，并且会删除本地的hosts文件，从而完全接管用户的DNS服务。

C,劫持流量
我们发现该病毒会劫持如下各大网站的流量

bigsite.png

D,云控
病毒作者在公共云服务器上面搭建C&C服务器，将各种病毒需要的配置信息加密存储于此，(格式为#-START-#+加密配置+#-END-#)，当病毒每次请求到所需的配置信息，就将其进行解密，然后执行。同时，病毒的更新也被配置于此。下图是病毒云控用到的一些链接与其对应的病毒功能：

yunkong.png

E,驱动对抗
与大部分Rootkit病毒一样，Strkon也做了驱动层的对抗，病毒驱动在加载的时候会劫持系统原有驱动tcpip.sys，将自己的对象名隐藏，从而躲避杀软的查杀。并且通过hook PsSetCreateProcessNotifyRoutine， PsSetCreateThreadNotifyRoutine，PsSetLoadImageNotifyRoutine，IoRegisterShutdownNotification，CmRegisterCallback等多处系统api，设置系统回调，使得该病毒的清除变得异常麻烦。

截至发帖，virustotal上面只有三家能检测出该病毒。

vt.jpg

总结
游戏外挂是病毒传播的一个主要渠道，在国内外挂横行的氛围里，要找一款清新脱俗，功能牛逼的外挂真的好难，但是外挂真的能给游戏带来乐趣吗？外挂只会使得玩家的心灵变得扭曲，使得游戏本身缺乏公平性，同时大多数外挂会携带病毒木马，在无声无息直间威胁到你的信息安全，所以我们也提醒各位游戏玩家，要合理公平的进行游戏。

文章中涉及到的样本

FXSRB[HQULPAX(}L%9EUVAD.png

*本文作者：0zapt4toM，转载请注明来自FreeBuf.COM

0zapt4toM
0zapt4toM
4 篇文章
等级： 3级
||
上一篇：一名代码审计新手的实战经历与感悟下一篇：看我如何挖掘到WordPress漏洞并最终拿下$1337的赏金
这些评论亮了

test 回复
还跟我说公平，这些游戏我要是有人民币往里面冲，我用得着用外挂嘛？/滑稽
)7(亮了
发表评论已有 7 条评论

test 2018-04-09回复 1楼
还跟我说公平，这些游戏我要是有人民币往里面冲，我用得着用外挂嘛？/滑稽

亮了(7)

陈天桥 2018-04-09回复 2楼
还有人玩传奇啊

亮了(3)

y111111en 2018-04-09回复 3楼
外挂只会使得玩家的心灵变得扭曲

亮了(0)

zsdroid (1级) 666 2018-04-09回复 4楼
原来真的存在xxxx.com这个域名啊

亮了(4)

马云 2018-04-09回复 5楼
做返佣链接岂不赚翻了？钱赚的美滋滋啊

亮了(0)

方小贱 2018-04-10回复 6楼
这东西自己做应该不难吧难在驱动那里

亮了(0)

Ethanxiao (1级) 2018-11-04回复 7楼
中招了，有没有办法清除这个病毒呀？

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
0zapt4toM
0zapt4toM

这家伙太懒，还未填写个人描述！

4
文章数
1
评论数
最近文章
静态分析一款锁首的RootKit样本
2018.04.24

传奇外挂携带恶意病毒Strkon，劫持用户主页及流量
2018.04.09

勒索之殇 | 从一个.NET病毒看透勒索三步曲
2018.02.06

浏览更多
相关阅读
游戏外挂网站暗藏病毒：盗号、锁首等数种危害并举一个伪装的Barlaiy病毒分析BUF早餐铺 | 华夏银行技术处长编病毒植入程序盗取700余万；支付宝检测到部分苹果用户ID被盗；微软十月修复49个漏洞僵尸病毒网络Gameover Zeus被捣毁“中国”制造：悍马（Hummer）病毒家族技术分析报告
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

网安传奇外挂

文章评论