搜索
查看: 3757|回复: 13
收起左侧

[技术原创] 成人游戏传播后门病毒 小心BT种子下载站

[复制链接]
火绒工程师
发表于 2020-12-9 19:50:18 | 显示全部楼层 |阅读模式
【快讯】
近期,火绒接到一起用户感染病毒的求助,火绒工程师查看分析后,确认为后门病毒。经过溯源发现,该病毒被打包进数款成人类游戏,并在成人游戏BT种子下载站等地传播。当下载游戏运行后,便会激活其中的后门病毒,执行挖矿模块。火绒用户无需担心,火绒安全软件最新版已对上述病毒进行拦截查杀。



火绒工程师详细分析发现,该后门病毒伪装的游戏程序被运行后,会在用户终端上新建一个文件目录并将自身复制到其中,以便用户卸载游戏后仍可以驻留在用户终端上。不仅如此,该病毒还将自身添加在Windows Defender排除目录下,以躲避其查杀。

此外,为了兼顾隐蔽性和效率,该病毒会每隔五分钟自行运行一次,并在运行前检测用户终端鼠标指针移动及任务管理器情况,一旦检测到用户使用电脑,病毒便立即停止挖矿避免造成电脑卡顿后被发现,行为十分狡猾,用户需小心防范。

火绒工程师表示,借助BT种子下载站向固定游戏人群传播病毒已经成为病毒扩散的一大方式,特别是一些成人类等敏感游戏,由于其本身具备灰色游戏的性质,容易欺骗用户查杀时当成误报而放过。在此,我们也建议大家尽量选择正规渠道下载游戏,必要时,可先开启火绒等靠谱的安全软件扫描查杀后再运行。

附:【分析报告】

一、        详细分析
近期,火绒接到用户反馈电脑中可能被植入了挖矿病毒,随后我们确认了中毒情况。经过溯源分析,我们发现一个成人游戏BT种子下载站中可以下载到被植入该病毒的游戏压缩包,病毒会伪装成游戏主程序诱导用户点击、执行后门挖矿病毒,病毒执行后会下载执行挖矿模块。病毒执行流程,如下图所示:

病毒执行流程图

用户下载含有病毒的成人游戏,点击伪造的游戏主程序,便会执行病毒模块。具体文件列表,如下图所示:

用户下载并点击伪造的游戏主程序

病毒会判断自身路径是否包含“AppData\Roaming”, 如果不包含则启动同目录下的*.tmp游戏原文件,等待游戏退出后执行恶意操作。具体现象,如下图所示:

病毒启动原来的游戏主程序

原始游戏

当游戏退出后,病毒会检测杀软(卡巴斯基),并将%APPDATA%目录(病毒存放自身和挖矿组件的目录)添加到Windows Defender的排除目录中。具体代码,如下图所示:

检测杀软,添加Windows Defender排除目录

病毒复制自身到%Appdata%\ms\service.exe。相关代码,如下图所示:

复制自身到%Appdata%\ms\service.exe

复制自身到%Appdata%\ms\service.exe

病毒会创建计划任务,从计划任务创建当天的23:10开始之后每隔五分钟运行一次%Appdata%\ms\service.exe模块。相关代码,如下图所示:

创建计划任务

主机的计划任务信息

当计划任务启动病毒模块%Appdata%\ms\service.exe时,病毒会将自身所在的目录隐藏,并清理之前的挖矿组件。

清理之前的挖矿组件

病毒可以接收后门指令,从而获得受害主机信息和控制挖矿的执行流程。具体代码,如下图所示:

接收后门指令和下载执行挖矿

病毒为了能够持久驻留,不被用户发现,只在主机空闲时挖矿。病毒如果检测到主机有Taskmgr(任务管理器)进程存在、当前窗口变化或者鼠标指针移动,则结束进程停止挖矿。相关代码,如下图所示:

闲时挖矿

经过查询,该病毒通过挖矿牟取利益数万余元。该病毒的部分钱包地址信息,如下图所示:

部分钱包地址信息

二、        附录
样本hash


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
墨水点点滴 + 1 留图不留种。。。。。。

查看全部评分

诸葛明
发表于 2020-12-9 20:11:47 | 显示全部楼层
这是检测到卡巴就结束后门程序?
dsb2466
发表于 2020-12-9 20:23:18 | 显示全部楼层
这个游戏有下载地址么?我一朋友想研究研究
ELOHIM
发表于 2020-12-9 20:43:29 | 显示全部楼层


管理员要做的事很多,其中就包括这件事。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
HEMM + 1 会杀掉些淘汰的老游戏的......

查看全部评分

swizzer
发表于 2020-12-9 23:19:41 | 显示全部楼层
ELOHIM 发表于 2020-12-9 20:43
管理员要做的事很多,其中就包括这件事。

而且添加排除这个行为本身就会被主防识别吧···比如卡巴、智量、360都有针对的检测
ELOHIM
发表于 2020-12-10 08:44:55 | 显示全部楼层
swizzer 发表于 2020-12-9 23:19
而且添加排除这个行为本身就会被主防识别吧···比如卡巴、智量、360都有针对的检测

使用微软,就不会再使用卡巴、智量、360这些了。。

所以,应该考虑的是,卡巴、智量、360,他们有没有对自己通过代码添加排除的检测。
swizzer
发表于 2020-12-10 12:23:11 | 显示全部楼层
ELOHIM 发表于 2020-12-10 08:44
使用微软,就不会再使用卡巴、智量、360这些了。。

所以,应该考虑的是,卡巴、智量、360,他们有没有 ...

我的意思是,既然这个行为本身会被其他厂商识别,而作者不仅没有针对其他厂商作逃逸性措施(除了卡巴),结果反倒还引入一个更容易暴露自己的行为,这不就很弱智···

评分

参与人数 1人气 +1 收起 理由
ELOHIM + 1 感谢解答: )

查看全部评分

303021
发表于 2020-12-10 19:33:01 | 显示全部楼层
dsb2466 发表于 2020-12-9 20:23
这个游戏有下载地址么?我一朋友想研究研究

找到了
YorkWaugh
发表于 2020-12-10 23:30:32 来自手机 | 显示全部楼层
疑车无据
skilly
发表于 2020-12-11 17:14:23 | 显示全部楼层
卧槽 无心版嘛????这小黄油
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 晋ICP备20004298号-1 ) GMT+8, 2021-1-24 17:55 , Processed in 0.134687 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表