传奇劫持网站广告(怎么解决传奇服务端里的病毒)

最近，tinder安全工程师截获了一种通过传奇服务器传播的病毒。

该病毒可以通过CC服务器发送任何恶意模块，还会将病毒服务器设置为代理服务器，通过篡改用户流量来推广作者自己的传奇服务器。当用户访问传奇网页时，会被劫持到病毒作者自己的传奇服务器，如下图所示：

病毒作者自己的传奇。。

据tinder安全工程师分析，该病毒可以通过CC服务器发送任何恶意模块，未来不排除发送其他恶意模块的可能。分布式恶意模块会在中毒用户的电脑中长时间停留，并自行启动。

利用“白加黑”调用恶意代码模块，注入系统进程执行恶意行为。

广大游戏玩家需要注意的是，。。登录设备不时携带木马、后门等病毒。下载安装后，玩家可能面临网页劫持、个人隐私数据泄露等不同危害，严重侵害用户隐私和资产安全。因此，

火绒工程师提醒玩家提高警惕。

火绒安全产品可以拦截并查杀以下传奇服务器携带的病毒：

被植入病毒的传奇服务器列表

病毒查杀图

该病毒的执行过程如下图所示：

病毒执行流程

以《梁山英雄=登陆者》为例来分析；

一、样本分析进入游戏时，火绒剑监测到的恶意模块QQExternals.exe和行为图会被释放并执行，如下图所示：

火绒剑监测的行为图

恶意模块QQExternals.exe会根据配置文件加载远程恶意模块InstallCore.dll，相关代码如下图所示：

远程加载恶意模块InstallCore.dll

恶意模块InstallCore.dll会释放QQExternal.exe（和第一个恶意模块相比少了一个s）和BugRpt.dll到C:\ProgramData\Microsoft\Setup\，

其中QQExternal.exe为带有腾讯签名的白文件，该病毒通过“白加黑”的方式来绕过杀毒软件查杀。QQExternal.exe签名信息，如下图所示：

QQExternal.exe签名信息

BugRpt.dll恶意模块的签名信息直接复制QQExternal.exe签名信息来进行伪装，如下图所示：

BugRpt.dll签名信息

恶意模块InstallCore.dll还会执行一系列操作来保证后续的恶意模块能正确被执行，如：添加证书、设置浏览器代理、持久化操作，相关代码，如下图所示：

添加证书、设置浏览器代理、持久化操作

修改后的浏览器的配置信息，如下图所示：

修改后的浏览器配置信息

被添加的任务计划，如下图所示：

被添加的任务计划

利用服务启动白名单文件QQExternal.exe，再以“白加黑“的方式加载BugRpt.dll来执行恶意代码，相关代码，如下图所示：

通过服务启动QQExternal.exe

BugRpt.dll是以“白加黑“的形式被加载运行，当BugRpt.dll同目录下的QQExternal.exe（白文件）被运行时，会调用其导出函数“BR_UserInit”。相关代码，如下图所示：

调用被劫持的函数

当BR_UserInit函数运行后会解密自身内部的”Puppet.dll”恶意模块并注入到系统进程WmiPrvSE中，相关代码，如下图所示：

注入WmiPrvSE

在恶意模块Puppet.dll中，根据服务器的配置来执行恶意模块PuppetLib.dll，相关代码，如下图所示：

加载远程恶意模块PuppetLib.dll

在恶意模块PuppetLib.dll中，防止证书被删除，每次启动都会检查证书是否存在，如果证书不存在，将重新添加证书，相关代码，如下图所示：

添加证书

并且一直循环修改浏览器的代理设置，相关代码，如下图所示：

修改浏览器代理

修改后的浏览器设置，如下图所示：

修改后的浏览器设置

被劫持的域名均为其他传奇。。站点域名，当用户访问相关传奇。。时，会被劫持到107.148.49.141，该地址用来中转到病毒作者自家传奇。。，相关代理脚本，如下图所示：

相关代理脚本

二、附录CC：

样本hash：