本文详细分析了私服游戏登录器中的后门病毒,该病毒能发动DDoS攻击、窃取SVN密码、实施断网攻击、检测进程,并通过伪装成合法程序实现持久驻留。病毒首先下载恶意模块,然后通过遍历桌面快捷方式,替换目标程序以执行病毒代码。此外,文章还追溯了后门的源头,提供了相关广告平台和C&C服务器的备案信息。
一、 详细分析
用户反馈怀疑有两款游戏(倚天OL、九州)私服登录器中带有后门病毒,经分析确认游戏中带有后门病毒,其主要危害包括:发动DDoS(拒绝服务)攻击、获取SVN密码、文件浏览、断网攻击(针对指定进程)、下发恶意模块、检测进程等恶意功能。在游戏私服登录器启动后,即会启动后门病毒,病毒首先会尝试下载其他恶意模块(下文称之为恶意启动模块)。之后病毒会在桌面目录中搜索YY、酷狗音乐、酷我音乐、迅雷等软件的快捷方式,如果存在,则会将病毒模块替换成上述快捷方式的目标程序。后门病毒为了加强自身的隐蔽性,名字(NvBackControl.exe)和程序图标均仿冒Nvidia显卡相关程序。当恶意启动模块运行后,除了运行上述原有软件主程序外,还会启动后门病毒,此操作主要用于后门病毒在用户计算机中进行长久驻留。病毒执行流程如下:
私服主程序启动后,会启动私服客户端登录器。私服客户端登录器中带有启动后门病毒的代码,执行后会将名为“lab.lab”的后门病毒文件复制到%APPDATA%NvBackControl.exe并执行。相关代码,如下图所示:
拷贝执行病毒文件相关代码
NvBackControl模块启动执行后,首先会进行更新和下载恶意模块,然后执行后门通讯。先会向C&C服务器(hxxp://upload.zzres.com/back/header.txt)请求配置,其中包含后门通讯地址和更新地址。配置内容,如下图所示:
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
