據電腦管傢安全中心介紹,近期一款名為“CF三屍蠱”的CF盜號木馬危害較大。黑客通過CF遊戲外掛捆綁此木馬病毒進行盜號,廣大CF遊戲玩傢需要提高警惕。此次黑客在外掛中捆綁的木馬具有較高的隱蔽性,並且能夠破壞殺毒軟件的雲查殺功能,當用戶出現賬號被盜情況之後,啟動殺毒軟件雲查殺掃描,殺毒軟件會出現連接失敗等異常情況。
電腦管傢安全專傢提醒各位CF遊戲玩傢,謹慎在遊戲論壇、遊戲外掛下載網站下載使用CF外掛,在使用未知軟件之前,最好使用殺毒軟件進行掃描。目前,電腦管傢7.0版提供4合1反病毒引擎掃描功能,推薦玩傢使用。
此次,被黑客捆綁木馬的CF外掛來自網站http://www.9173wg.com,木馬名為“CF三屍蠱”(Win32.Trojan.Agent.nua),這是一款帶驅動的MBR型木馬,屬於遠控木馬。隱藏性高、內部瓦解、持久性強是它的主要特點。
該木馬會感染系統文件,破壞用戶的安全軟件,收集用戶信息,修改用戶瀏覽器的主頁,連接黑客遠程計算機使用戶電腦完全被黑客掌控。由此看來,黑客的野心可非同小可。而打碎黑客野心的電腦管傢安全團隊,成功破解攔截,維護瞭廣大玩傢的利益。
該木馬是怎樣隱藏?怎樣內部瓦解玩傢電腦的呢?讓我們一起透視它的行徑。
透視1:三重保險——進入玩傢電腦
為瞭確保木馬成功進入玩傢電腦,黑客使用瞭三重保險來保證木馬自啟動成功:修改用戶系統的MBR即用戶硬盤的主引導區記錄,確保優先註冊系統啟動;感染beep.sys系統文件(圖1);
創建木馬驅動服務:釋放cp.exe(功能以mima1用戶運行程序)和拷貝自己到C:Temp目錄,創建mima1(Administrators權限)的用戶。利用cp.exe Administrators權限斷開用戶網絡和安裝木馬的驅動程序。(圖2)
圖2
通過 IpConfig /Release 命令斷網避免安全軟件的雲查,斷網後安全木馬驅動模塊。(圖3)
透視二:註入木馬主體——散佈“害蟲”內部瓦解
通過驅動程序來監視系統中部分進程的創建過程,並把safemon.dll(病毒釋放的主模塊)註入到所創建的進程中。以達到從內核全速瓦解玩傢電腦的目的。過程如下:
① 釋放C:WindowsSystem32safemon.dll(病毒主體文件).
② 註冊系統創建進程通知函數 PsSetCreateProcessNotifyRoutine,過濾部分進程的創建行為,對①中釋放的safemon.dll進行註入。這些被註入的進程有
透視三:屏蔽安全軟件雲查殺——幽禁用戶安全部隊
該木馬一手在玩傢電腦內核翻雲覆雨,一手又想在電腦網絡隻手遮天。它屏蔽瞭一些安全軟件的雲查殺IP地址,使得安全軟件部分功能失效,無法進行雲查殺或更新。(如下圖)
透視四:禁止用戶瀏覽安全廠商網址——切斷救援
除瞭軟化安全軟件對自身的威脅,木馬還防止用戶自己去查詢和求救。其主體safemon.dll 會修改用戶瀏覽器主頁,過濾部分安全軟件廠商的網址,來禁止用戶查詢相關信息。讓用戶仿佛在一座孤島上,絕望淪為“魚肉”。
透視五:完美驅動級隱藏——立足長遠 包藏禍心
為瞭持久地破壞用戶電腦,成功遠程控制,該木馬還費盡心思,改頭換面,釋放並安裝NtHook.sys驅動程序,主要是HOOK內核中文件與註冊表操作函數以達到隱藏自己的目的。恣意來日方長的遠程連接木馬作者計算機,使用戶計算機成為“肉機”。
綜上五種透視,CF外掛所捆綁的木馬可不亞於CF激戰本身。電腦管傢安全中心提示廣大遊戲玩傢,慎用外掛,安全遊戲。電腦管傢已經成功攔截該木馬,可以為您激戰保駕護航。
Orignal From: CF遊戲木馬來襲 捆綁外掛阻斷需小心
留言列表
