近期,火绒接到用户反馈,两款游戏(倚天OL、九州)私服登录器中疑似带有后门病*。经火绒工程师分析后,确认游戏中携带后门病*,并通过游戏安装包进行传播。该后门病*入侵用户电脑后,除通过远控进行浏览用户文件、发动DDoS(拒绝服务)攻击、检测进程等后门病*常见恶意行为以外,还可进行断网攻击(针对指定进程),并获取用户SVN密码(SVN通常用来管理软件源码,不排除黑客会利用SVN密码进一步窃取软件源码的可能性),影响恶劣。
火绒用户无需担心,火绒安全软件已对所述软件中的后门病*进行拦截查杀。
火绒工程师分析发现,该后门程序隐藏在上述两款游戏的安装包中,并在游戏安装时释放病*模块。一旦用户启动游戏私服登录器,即会运行后门病*。随后,该病*会搜索YY、酷狗音乐、酷我音乐、迅雷等软件的快捷方式,将原快捷方式的目标程序替换为病*模块,或替换上述软件动态库,在用户运行软件的同时,再次启动后门病*,以便长期驻留在用户计算机中。近年来,私服游戏因其消费低,而获得了一定数量的受众群体。但这类游戏通常会选择在某些游戏开服广告站点进行推广、宣传,往往也容易成为黑客投放病*的重点目标。因此,火绒工程师提醒大家,谨慎下载不明网站游戏,如需下载,请使用火绒及时查杀。(跟进:文中款私服游戏服务器现已关闭)附:一、详细分析近期,火绒接到用户反馈怀疑有两款游戏(倚天OL、九州)私服登录器中带有后门病*,经分析确认游戏中带有后门病*,其主要危害包括:发动DDoS(拒绝服务)攻击、获取SVN密码、文件浏览、断网攻击(针对指定进程)、下发恶意模块、检测进程等恶意功能。在游戏私服登录器启动后,即会启动后门病*,病*首先会尝试下载其他恶意模块(下文称之为恶意启动模块)。之后病*会在桌面目录中搜索YY、酷狗音乐、酷我音乐、迅雷等软件的快捷方式,如果存在,则会将病*模块替换成上述快捷方式的目标程序。后门病*为了加强自身的隐蔽性,名字(NvBackControl.exe)和程序图标均仿冒Nvidia显卡相关程序。当恶意启动模块运行后,除了运行上述原有软件主程序外,还会启动后门病*,此操作主要用于后门病*在用户计算机中进行长久驻留。病*执行流程如下:病*执行流程私服主程序启动后,会启动私服客户端登录器。私服客户端登录器中带有启动后门病*的代码,执行后会将名为“lab.lab”的后门病*文件复制到%APPDATA%\NvBackControl.exe并执行。相关代码,如下图所示:拷贝执行病*文件相关代码NvBackControl模块启动执行后,首先会进行更新和下载恶意模块,然后执行后门通讯。先会向CC服务器(hxxp://upload.zzres.