随着網絡遊戲使用者規模不斷擴大,外挂軟體也發展形成灰色産業,利用外挂軟體傳播病毒的也屢見不鮮。火絨曾多次披露外挂軟體攜帶病毒危害使用者的行為,包括木馬程式收集色情資訊等,甚至還有病毒作者公然在外挂程式中彈窗叫嚣“殺毒無用”……
近日,火絨工程師再次溯源一起通過外挂軟體投放後門病毒的惡性事件。通過分析發現,該後門病毒主要通過外挂程式(文中樣本檔案名為 “巴哈-盜賊之海 V4.1.exe”)進行傳播,并通過官網提供下載下傳連結(hxxp://xradar.cccpan.com/)。如下圖:
該外挂程式攜帶的病毒在系統中運作後,會釋放惡意子產品,執行雲控伺服器下發的惡意指令,包括盜取使用者賬戶密碼、好友資訊、監控使用者螢幕等。此外,惡意子產品還會通過釋放、執行核心子產品進行自我保護,對抗安全軟體。病毒執行流程和釋放檔案如下圖:
病毒執行流程圖
釋放檔案及功能
而在該外挂軟體的官網上,我們發現除了提供“巴哈-盜賊之海 V4.1.exe”外挂程式,還有“絕地求生”等多款遊戲的外挂軟體,經火絨工程師分析後同樣發現其攜帶了上述病毒。
更為嚣張的是,為了進一步引誘使用者下載下傳,官網還給出了“幹掉網吧防火牆”“添加資料保護”“清理殘留驅動”等對抗與自保方式幫助使用者使用,甚至貼出公告表示“請各位不用演戲,放心使用盡情奔放,已穩定8個月以上了”。如下圖:
火絨使用者無需擔心,火絨可以清除該病毒。具體清除步驟:(1)使用專殺工具清除;(2)電腦重新開機;(3)重新開機後使用火絨安全軟體進行病毒清除即可。此外,火絨僵屍網絡防護功能也可以成功攔截該病毒。
火絨清除圖
如有遇到相關問題也可以直接通過以下方式,直接向我們回報求助:
1、撥打電話400-998-3555
2、通過火絨官方論壇回報
3、郵箱:[email protected]
4、微信、微網誌、頭條、知乎、B站平台搜尋【火絨安全實驗室】私信求助。
最後,火絨再次提醒,外挂軟體不僅破壞遊戲平台的正常營運,甚至帶來隐私、财産安全等多種風險。請大家避免使用此類軟體,盡量通過官方途徑下載下傳正規軟體。
以下為上述病毒的詳細危害和行為。
1、通路任意本地檔案
可能會造成重要資料(重要文案、個人照片等)的洩露。如下圖所示:
檔案通路功能
2、監控使用者的鍵盤記錄
此功能可以記錄下使用者在登入各類社交平台或者網銀時輸入的賬号密碼,甚至還控制了使用者的複制粘貼,嚴重威脅着使用者的财産安全,如下圖所示:
鍵盤記錄制功能
擷取和設定粘貼闆功能
3、擷取使用者的QQ号
包括QQ好友清單以及QQ群内所有的成員資訊,均屬于較為敏感的個人隐私。如下圖所示:
QQ隐私擷取功能
擷取QQ号功能
4、螢幕截圖
通過頻繁的截圖即達到螢幕監控的效果。使用者在浏覽隐私資訊時病毒可以通過螢幕截圖的方式擷取、上傳使用者的隐私内容,此外病毒還可以屏蔽使用者對鍵盤和滑鼠的操控。如下圖所示:
螢幕監控功能
屏蔽使用者滑鼠鍵盤功能
5、執行任意雲控指令
遠端将可執行檔案加載到記憶體中執行, 遠端傳輸檔案以不落地的方式執行, 病毒伺服器可以在使用者未經允許的情況在使用者電腦上執行任意代碼和程式,如下圖所示:
執行任意代碼功能
6、開放大量的系統權限,降低使用者電腦的安全系數
遠端管理windows賬戶
打開windows的共享服務(sharedaccess)
啟用windows自帶的遠端桌面功能.
7、收集和設定使用者電腦系統配置
遠端對系統服務進行操作
遠端對系統資料庫進行操作
遠端執行shell
遠端讀寫hosts檔案
遠端擷取系統已安裝的軟體
遠端調用com元件
附錄
1、病毒hash
2、相關外挂軟體帶毒報告連結
QQ遊戲外挂收集色情檔案 火絨提示切勿使用
黑客通過遊戲外挂植入後門病毒 彈窗叫嚣“殺毒無用”