近期360安全衛(wèi)士攔截到帶木馬的荒野求生輔助通過論壇、QQ、YY大量傳播。木馬運行后,黑客可以遠程控制用戶電腦�,進行任意操作�,并將中招電腦作為傀儡機�,進行DDOS攻擊,嚴重危害個人信息安全和網(wǎng)絡秩序。
一����、主要流程
帶木馬的荒野求生輔助以免費形式發(fā)布在布衣論壇中
帶木馬的荒野求生輔助運行后界面如下
該荒野求生輔助被用戶下載運行后會釋放運行兩個木馬文件:“過CRC檢測.exe”和“防封插件.exe”�����。其中“防封插件.exe”,是一個遠控木馬����,可以竊取用戶電腦中的信息���,下載執(zhí)行任意文件���。另外一個“過CRC檢測.exe”�����,是一個DDOS木馬�,根據(jù)黑客指令進行定向攻擊。
二��、防封插件.exe
防封插件.exe是一個加密木馬的載體�,該文件運行時會解密出具有遠控功能的dll文件,并在內(nèi)存中加載執(zhí)行�����。
1. 解密dll木馬
木馬作者加密木馬程序后����,把加密數(shù)據(jù)作為全局變量存儲在防封插件.exe程序的全局數(shù)據(jù)區(qū)。
解密木馬的功能位于防封插件.exe程序的異常處理里�����。由程序主動拋出整型異常��,進入相應的異常處理函數(shù)�,解出木馬�����。
解密后的木馬是一個dll文件�����。
2. 內(nèi)存加載dll木馬
防封插件.exe通過PELoader的方法,在內(nèi)存中映射解密后的dll文件�,并調(diào)用Dllmain執(zhí)行����。
然后計算導出函數(shù)ForShare82的位置��,調(diào)用導出函數(shù)���。至此,木馬本體已經(jīng)完整加載到內(nèi)存并運行��。
3. Dll木馬功能
Dll木馬具有遠控功能���,控制服務器地址:27.126.188.68���,端口:522����。該程序包含鍵盤記錄、下發(fā)文件����、注冊表控制�����、服務控制等功能����。
鍵盤記錄功能:判斷鍵盤輸入的內(nèi)容����,然后格式化鍵盤信息,過濾特殊按鍵(SHITF�����、CTRL等)��,最后重組成完整的輸入信息���,寫入文件。
截屏功能:獲取分辨率信息�,然后進行截屏操作�。
其他控制功能:
三����、過CRC檢測.exe
過CRC檢測.exe程序根據(jù)注冊表項SYSTEM\CurrentControlSet\Services\.Net CLR是否存在,判斷程序是否第一次運行,首次運行會執(zhí)行不同流程����。
1. 首次運行的執(zhí)行流程
將自身以隨機文件名拷貝到windows目錄下
將拷貝后的文件注冊為自動啟動的服務�,服務名.Net CLR���。
修改服務描述信息為:Microsoft .NET COM+ Integration with SOAP以進一步迷惑用戶�����。
寫注冊表項SYSTEM\CurrentControlSet\Services\.Net CLR�����。
刪除原始木馬文件。
2. .Net CLR服務程序執(zhí)行流程
由于首次運行時注冊了服務�,所以樣本作為服務二次啟動的時候就會進入另一個流程��。
1) 創(chuàng)建互斥體“.Net CLR”
2) 釋放hra33.dll(這是一個lpk劫持dll),緊接著便更新dll的資源��,然后加載dll�����。
hra33.dll被加載之后�����,DllMain中立即運行惡意行為�����,遍歷用戶磁盤文件�,每當發(fā)現(xiàn)一個exe文件時�����,便將自身拷貝到exe文件目錄下�,并將自身重命名為lpk.dll�。
3) 創(chuàng)建局域網(wǎng)傳播線程,嘗試弱口令連接局域網(wǎng)內(nèi)的用戶,將自身拷貝到本地磁盤和局域網(wǎng)共享目錄的C��、D�、E、F盤下并重命名為g1fd.exe,其中成功拷貝至C、D����、E盤時�����,會以計劃任務的方式直接啟動����。
局域網(wǎng)傳播中用到的部分用戶名和弱口令
4) 創(chuàng)建三個遠控線程����。三個線程的控制功能是一致的,但連接的服務器不同,此外前2個線程會驗證系統(tǒng)時間�����,當時間大于2013/2/21才會創(chuàng)建控制線程��。
遠控線程1的連接,實測是無效連接�。
遠控線程2的遠程連接c&c 地址(z*******g.bid)端口是20199
遠控線程3的連接�,服務器地址是加密的���,解密后是27.126.188.68:520
5) 遠控線程的主要功能
下載執(zhí)行任意文件
DDOS攻擊
使用遠程命令行參數(shù)啟動IE
更新木馬文件
卸載自身
四���、溯源
通過對惡意樣本的分析����,找到了域名z*******g.bid,通過域名反查定位到域名相關的注冊郵箱和聯(lián)系電話����。
通過郵箱和手機定位到相關信息如下
五����、木馬的查殺
如果發(fā)現(xiàn)來歷不明的文件��,通過360安全衛(wèi)士進行查殺���,該遠控木馬已經(jīng)第一時間被360殺毒查殺���,請廣大用戶在使用安裝包及時掃描查殺�����,避免使用未知來源的可疑軟件。
本文作者:360安全
人的眼睛有5.76億像素����,卻終究不如那幾百塊的外掛。
無論在什么游戲中外掛一直都是大家最為痛恨的東西����,100人的吃雞只要有一個人開掛就會影響到另外99人的體驗�。
在虎牙某主播45殺之后��,主播專用掛終于揭開了神秘的面紗�。
小K今天帶大家簡單了解一下這款“主播專用”
“天地線”以屏幕上方為頂點�,向外發(fā)散,每條線都會連接一個玩家�。這個“天地線”+人物描邊簡直比透視還要強���。
再看看界面
自瞄�,無后�,穿墻,透視��,超級防封��,各種你想到的想不到的統(tǒng)統(tǒng)應有盡有��。
這是游戲內(nèi)部的“天地線”
網(wǎng)友表示,外掛完備到這種程度�����,難怪不被封號�。
因為外掛是個非常龐大的利益鏈,外掛可以打造以一個超神主播�,能帶來非常大的利益�����,并且使用外掛的人也可以從中獲利�。
有的網(wǎng)友則表示“全軍都出回放功能��,刺激戰(zhàn)場為什么沒有��?十分懷疑動機?��!?/p>
雖然網(wǎng)友的質(zhì)疑看起來十分有道理���,但是不管是什么游戲的廠商��,都是十分痛恨外掛存在的��,畢竟外掛對于游戲發(fā)展有著致命打擊,所以�,光子完全沒有任何理由去縱容外掛���,他們應該比任何人都希望外掛消失�����。
至于為什么沒有回放功能,也許是還沒有研發(fā)成功���,回放功能對手機的要求會更高,需要更久的調(diào)試,畢竟這個游戲的體積已經(jīng)不小啦。相信在以后刺激戰(zhàn)場會推出這個功能的。
最后����,小K教大家?guī)渍腥绾闻袛嘀鞑ゲ僮魇遣皇峭鈷臁?/p>
NO.1 開鏡有人
一般普通玩家開鏡之前都會有這樣幾種情況����,先觀察四周動向��,如果聽到槍聲再根據(jù)槍聲偵察��,然后開鏡瞄準敵人,無論是菜鳥還是高手���,都存在開空鏡的可能,畢竟正常玩家也很難預測到敵人的走位���,而有些主播開鏡就會瞄準道人�����,紅點就在人的身上�����,甚至開槍就會爆頭,這就有很大的可能這位主播在使用外掛���。
NO.2每局殺人20以上
每局都殺很多人比較正常,因為很多主播都是開著車故意到處找人殺的�����,這也是為了主播間的觀眾考慮�,不過一局里面不一定會碰到那么多人,但是有些主播開了自動尋人就不一定了����。
NO.3哪里有人他都知道
有的主播在落地以后會往墻角看��,明明也沒有腳步,但是他卻能發(fā)現(xiàn)人��。有時候在決賽圈還肆無忌憚地提前槍�,也不怕人發(fā)現(xiàn)。
還有就是在多排的時候����,隊友卻能夠一直發(fā)出“有人有人”的訊號�����,而且都一說一個準,那么這個主播和隊友就很有使用外掛的嫌疑��。
NO4.喜好用一些奇異的槍
如今公認的是M4最好用���,但是外掛玩家便是反其道而行之�,喜好用手槍、散彈槍等�,比如平凡玩家打遠處的敵人用98K���,他偏偏要用Win94��,并且照舊一槍爆頭,這種玩家很有可能是外掛�����。另外有的槍用起來非常抖動�,但是主播用起來沒有絲毫的抖動,超遠間隔八倍鏡掃射�����,也有很大的可能���。
依據(jù)著四種方法�,小伙伴很輕松就能辨別主播用沒用外掛。
對于用掛的人小K只想對你說
人活這一世
有的人活成了盒子
有的人卻活成了孤兒
手法不好可以練習
開掛為疾��,封號無醫(yī)����。
文末福利
關注公眾號
吃到雞的小伙伴截圖發(fā)到公眾號后臺。
將有神秘禮物免費贈送哦�!
別忘了��!
關注98K俱樂部
有趣實用的游戲攻略資訊
