黑客通过游戏外{过}{滤}挂植入后门病毒 弹窗叫嚣“杀毒无用”

火绒工程师

【快讯】
近日，火绒安全团队收到用户反馈后发现，有后门病毒正通过“穿越火线”等多款游戏外{过}{滤}挂传播（具体见下图），并通过QQ群、网盘等渠道持续扩散。该后门病毒入侵用户电脑后，还会继续实施下载勒索病毒等危害行为，甚至还通过后门病毒向用户下发消息弹窗“别杀毒了，木有用”，影响恶劣。

目前，火绒软件（个人版、企业版）可以拦截、查杀上述后门病毒和勒索病毒。同时，火绒的“僵尸网络防护”功能（默认开启）可针对上述远程控制程序进行拦截，并溯源攻击源IP地址。

后门病毒入侵电脑后，除了投放所述勒索病毒以外，还会记录键盘信息、收集电脑信息、执行远程文件、设置RDP服务、获取当前登陆QQ的各类信息，此外不排除黑客利用该后门病毒传播其它病毒的可能性。

事实上，游戏外{过}{滤}挂层出不穷，并不断通过QQ群、网盘等渠道不断扩大其影响范围，并且从中分发的游戏外{过}{滤}挂大多携带病毒，此外，这类游戏外{过}{滤}挂还会对抗安全软件，如检测到用户电脑中安装了安全软件，便会“善意”提醒用户，关闭安全软件。

另一方面，因为游戏外{过}{滤}挂拥有大批量的使用者，导致其常常成为病毒制作者投放病毒的目标，加上使用者本身对此类程序警惕性较低，往往会选择主动关闭安全软件，放弃拦截查杀，让病毒顺利入侵。火绒工程师提醒大家，尽量避免使用此类软件。

附：【分析报告】
一、详细分析
近期火绒接到网友求助，在使用穿越火线游戏外{过}{滤}挂后被勒索病毒加密全盘文件。外{过}{滤}挂中被植入了后门病毒，勒索病毒是通过后门病毒投毒的方式进行传播。甚至在用户后续安装安全软件进行杀毒的过程中，还通过后门病毒的消息弹窗功能与中毒用户聊天。弹窗截图，如下图所示：

消息弹窗

后续我们对全套攻击链进行了分析溯源，我们发现全套病毒的源头来自于一款名叫“梦洛不掉血”的穿越火线游戏外{过}{滤}挂。通过后续追查，我们发现该外{过}{滤}挂相关QQ群中的大部分外{过}{滤}挂均带有后门病毒。相关外{过}{滤}挂QQ群，如下图所示：

相关外{过}{滤}挂QQ群

外{过}{滤}挂本身为病毒释放器，运行后会释放全套病毒组件，其中包含白文件利用和冒用安全软件图标（火绒图标）的情况。最后会启动webcore（白文件）加载libhwcodec.dll病毒动态库解密运行后门逻辑代码。被释放的病毒组件，如下图所示：

被释放的病毒组件

恶意代码执行流程，如下图所示：

恶意代码执行流程

外{过}{滤}挂释放恶意模块行为，如下图所示：

外{过}{滤}挂释放恶意模块行为

webcore.exe（白文件）与libhwcodec.dll（病毒）为一组白加黑攻击模块组合。webcore.exe由于没有进行代码安全性检测，致使该程序执行后会调用libhwcodec.dll中的恶意逻辑，解密执行后门病毒代码。如下图所示：

解密执行后门病毒相关代码

被注入到svchost中的后门病毒为Gh0st后门的一个变种，运行后病毒会连接C&C服务器（116.63.147.136:6681）。病毒包含键盘记录，收集电脑信息，执行远程文件，设置RDP服务，取当前登录QQ的各种信息等多种功能。部分的后门功能代码，如下图所示：

部分后门功能

部分后门指令分发函数

后门病毒运行后，会通过遍历进程的方式检查电脑中运行的安全软件（如：火绒、360、金山、QQ电脑管家等）。被检测的安全软件名称，如下图所示:

被检测的安全软件进程

二、溯源分析
除上述后门病毒之外，我们还在QQ群中找到了另一个被植入外{过}{滤}挂程序中的后门病毒。病毒代码与上述后门病毒代码同源，但是后门病毒所连接的C&C服务器（39.99.195.59:10991）与前文不同。同源代码，如下图所示：

同源代码

通过我们进一步溯源，我们发现网络中找到了更多与上述外{过}{滤}挂带有同源恶意代码模块的游戏外{过}{滤}挂。相关外{过}{滤}挂文件名，如下图所示：

相关外{过}{滤}挂文件名

在国内互联网中，游戏外{过}{滤}挂一直都是病毒传播的主要渠道之一。大部分外{过}{滤}挂在运行时，都会让用户关闭安全软件再尝试运行外{过}{滤}挂程序，甚至打着“绝对无毒”的旗号谎骗用户执行。使得很多用户为了使用游戏外{过}{滤}挂不惜卸载安全软件，从而致使自身电脑成为了黑客们的“肉鸡”。

三、附录
样本hash

Jerry.Lin

火绒确实挺没用的，杀毒还是菜得抠脚

minifish

这哪是黑客啊，简直是惩治挂逼的诛仙小能手。ψ(｀∇′)ψ

sutionqwesk

反正这些用外{过}{滤}挂的 救了白救

暗_黑

Jerry.Lin 发表于 2020-4-17 22:15
火绒确实挺没用的，杀毒还是菜得抠脚

这只是时间问题

火绒的人工服务挺好的

Invalid_ID

用外{过}{滤}挂这种行为本身比病毒更加高危，一旦不用，个人安全的这种传染途径就被切死了

时空穿梭

最近，火绒论坛里有人说复活了，自己的电脑360和火绒动用了全部查杀功能也无济于事。还一直现在僵尸网络攻击拦截。希望火绒尽快处理。

火绒工程师

时空穿梭 发表于 2020-4-22 00:01
最近，火绒论坛里有人说复活了，自己的电脑360和火绒动用了全部查杀功能也无济于事。还一直现在僵尸网络攻 ...

您好，请添加QQ：2208613431，我们远程帮您看下问题，感谢您的反馈！

时空穿梭

火绒工程师 发表于 2020-4-22 10:30
您好，请添加QQ：2208613431，我们远程帮您看下问题，感谢您的反馈！

您已在火绒论坛解决了用户问题，可以忽略我的回复了。

火绒工程师

时空穿梭 发表于 2020-4-22 15:27
您已在火绒论坛解决了用户问题，可以忽略我的回复了。

如果您可以联系到用户，可以将QQ发送给用户，让用户联系我们，感谢您的反馈！