【消息】
近日,火绒收到用户反馈,两款游戏(倚天OL、九州)的私服登录设备疑似存在侧门病毒。 经火绒工程师分析,确认该游戏携带侧门病毒,并通过游戏安装包进行传播。 侧门病毒入侵用户笔记本后,除了浏览用户文件、发起DDoS(拒绝服务)攻击、通过远程控制检测进程外,还可以进行断网攻击(针对指定进程),获取用户的SVN密码(SVN一般用于管理软件源代码,不排除黑客利用SVN密码进一步泄露软件源代码的可能性),造成不好的影响。
火绒用户不用害怕,火绒安全软件已拦截并查杀软件中的侧门病毒。
火绒工程师分析发现,该后门程序隐藏在上述两款游戏的安装包中,并在游戏安装时释放病毒模块。 一旦用户启动游戏私服登录设备,侧门病毒就会运行。 然后,病毒会搜索YY、酷狗音乐、酷我音乐、迅雷等软件的快捷方式,用病毒模块替换原来快捷方式的目标程序,或者替换上述软件动态库。 启动侧门病毒游戏安装包源码分析,使其常年保留在用户的计算机上。
近年来,私服游戏由于消费较低,获得了一定的受众群体。 但这类游戏一般都会选择在个别游戏发行广告网站上进行推广和宣传,往往很容易成为黑客发动病毒的重点目标。 因此,Tinder工程师提醒您从未知网站下载游戏时要谨慎。 如果需要下载,请及时使用Tinder秒杀。 (后续:本文中的两台私服游戏服务器已被关闭)
附件:【分析报告】
1. 详细分析
近日,火绒收到用户反馈,其私服登录设备中存在两款游戏(倚天OL、九州)疑似存在侧门病毒。 经分析,确认游戏中存在侧门病毒。 主要危害包括:发起DDoS(拒绝服务)攻击、获取SVN密码、文件浏览、断网攻击(针对指定进程)、投递恶意模块、检测进程等恶意功能。 游戏私服登录设备启动后,就会启动侧门病毒,病毒会首先尝试下载其他恶意模块(以下简称恶意启动模块)。 随后病毒会在桌面目录中搜索YY、酷狗音乐、酷我音乐、迅雷等软件的快捷方式,如果存在则将病毒模块替换为上述快捷方式的目标程序。 为了增强隐蔽性,该后门病毒在名称(NvBackControl.exe)和程序图标中伪造了Nvidia主板相关程序。 恶意启动模块运行后,除了运行上述原软件的主程序外,还会启动侧门病毒。 该操作主要用于侧门病毒在用户计算机中长期停留。 病毒执行过程如下:
病毒执行过程
私服主程序启动后,私服客户端登录装置将会启动。 私有服务器客户端记录器包含启动侧门病毒的代码。 执行后,名为“lab.lab”的侧门病毒文件将被复制到%APPDATA%NvBackControl.exe并执行。 相关代码,如下图所示:
复制并执行病毒文件相关代码
NvBackControl模块启动并执行后,首先会更新并下载恶意模块游戏安装包源码分析,然后执行侧门通信。 首先,它会向C&C服务器(hxxp://upload.zzres.com/back/header.txt)请求配置,其中包括侧门通信地址和更新地址。 配置内容,如下图所示:
更新配置
具体代码如下图所示:
下载更新配置
分析配置,根据配置下载恶意模块到%APPDATA%CleanTrash目录下的各个back*.dat文件中。 相关代码,如下图所示:
解析配置文件
自行更新并下载其他恶意模块
遍历桌面上的快捷方式,如果有相关的快捷方式(YY、酷狗音乐、酷我音乐、迅雷等),将对应的恶意模块复制到相应的目录下,并将桌面上的快捷方式指向病毒模块。 当用户点击修改后的快捷方式时,病毒模块就会被执行。 相关代码,如下图所示:
复制病毒文件
下载的另外两个恶意模块是xxxSc.exe和sqlite3.dll,其功能基本相同。 通过快捷方式或者动态库替换的方式启动后门程序NvBackControl模块,从而达到持久化运行的目的。 病毒模块代码,如下图所示:
QQ音乐模块
sqlite3模块
后门功能发起DDoS攻击
DDoS相关函数首先分析攻击地址信息,然后调用攻击代码对目标地址进行攻击。 相关代码,如下图所示:
DDoS攻击代码调用逻辑
在tcp_ddos_attack中,会根据传入的攻击地址信息不断进行DDoS攻击。 DDoS相关代码,如下图所示:
DDoS发送数据相关代码
获取SVN密码
侧门模块还可以根据远程控制命令获取用户笔记本上的SVN账户密码信息。 首先遍历用户笔记本%APPDATA%Subversionauthsvn.simple目录下的文件信息,删除txt文件。 相关代码如下图所示:
遍历svn账户信息目录并删除txt文件
遍历到用户本地存储的svn账户信息文件后,开始揭秘并获取所需的密码信息。 相关代码如下图所示:
解密获取用户svn账户信息
网络攻击
侧门模块还可以根据远程控制命令对目标进程进行断网攻击。 首先根据远程控制命令找到目标进程,相关代码如下图所示:
根据远程控制命令找到目标进程
当发现目标进程时,会获取该进程内的TCP连接信息并删除,从而实现对指定进程的断网攻击。 相关代码如下图所示:
对目标进程进行断网攻击
检测流程
侧门模块还可以根据远程控制命令检查用户笔记本中是否存在目标进程。 相关代码如下图所示:
检测目标进程
交付恶意模块
侧门模块的更新函数与上述启动时的更新逻辑相同,相关代码如下图所示:
后门模块更新
文件浏览
侧门模块还可以浏览用户笔记本的文件信息,相关代码如下图所示:
浏览文件信息
2、溯源分析
举报涉及的倚天OL私服游戏官网如下图所示:
