火绒安全 新Rootkit病毒利用“天龙八部”进行传播 四川 成都 科汇科技 IT服务商
近期,火绒威胁情报系统监测到一种Rootkit病毒正通过“天龙八部”游戏私服进行传播。该病毒被激活后,会将用户重定向到恶意网站,并允许黑客进行信息收集和数据篡改等恶意活动。除此之外,该病毒还采用了多种对抗手段,对用户构成较大的安全威胁。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
该病毒采用字符串加密和删除杀毒软件驱动等多种对抗手段,对抗杀毒软件的查杀,并通过URL劫持、DNS劫持和IP重定向等方式来劫持用户的流量。当用户访问与“天龙八部”相关的网页时,就会被重定向到指定的私服网站。该病毒执行流程,如下图所示:
火绒工程师分析发现,《Rootkit病毒利用“天龙八部”私服传播,可劫持网页》报告中的Rootkit病毒会禁止此次Rootkit病毒的驱动签名,可见黑客团伙非常活跃,不排除后续持续作恶的可能,请广大用户时刻保持警惕。
一,样本分析
初始化阶段
携带病毒的天龙八部私服启动后,会释放并启动该Rootkit病毒,当时应用火绒剑监控到的行为,如下图所示:
通过查看该Rootkit病毒的驱动签名,在火绒上一篇报告《Rootkit病毒利用“天龙八部”私服传播,可劫持网页》中的Rootkit病毒会禁止驱动签名为:“Fuqing Yuntan Network Tech Co.,Ltd. “的驱动,该驱动签名正是此次Rootkit病毒的签名,相关签名信息,如下图所示:
Rootkti病毒启动后,会先进行初始化操作如:初始化WFP网络过滤框架,如果之前有获取过C&C配置会重新从注册表中读取出来,相关代码,如下图所示: