吃雞玩家的一曲涼涼：「荒野行動」加速器木馬攻擊已達10萬＋

隨著絕地求生、荒野行動等遊戲大火，不少玩家會下載各種加速器用來加速遊戲，而這些利用玩家求勝心理傳播的加速器等外掛，卻很快成了木馬活躍的溫床。近期，360安全中心發現一款藉助「荒野行動」外掛擴散的驅動級木馬十分活躍，傳播量迄今已超10萬次。

該加速器運行後界面顯示正常，但是後台會靜默注入桌面進程，下載各種惡意木馬運行。木馬會通過修改驅動結構體隱藏自身文件及驅動對象，創建進程回調對瀏覽器實施監控，藉機劫持並篡改玩家所有瀏覽器的主頁。值得注意的是，該木馬的查殺難度極高，能夠關機回寫自身服務項，確保自身在開機最初運行，並做多重註冊表保護。

下面是對該加速器惡意行為詳細分析。

1 安裝改首頁驅動部分

圖1

而後在線程函數中檢測惡意驅動設備是否存在:

圖2

打開查找設備名:

圖3

讀取驅動下載配置:

圖4

然後解密配置, 檢測改主頁驅動安裝雲標記是否打開。

打開是1，並且根據操作系統x86 x64分別使用不同地址。

下載安裝驅動:

圖5

調用 URLDownloadToFileW 下載驅動文件:

圖6

啟用該驅動:

圖7

2 改主頁驅動

2.1驅動入口函數

判斷是否支持的系統:

圖8

是否已經載入上:

圖9

判斷是否為第一次隨機名載入:

圖10

如果是隨機名載入,則重新載入驅動並且將自身設置為System Reserved組:

圖11

調用ZwLoadDriver重新載入該驅動:

圖12

重新載入自身後創建符號鏈接:

圖13

而後註冊關機回調， 初始化瀏覽器進程數組 ，進程回調(用來判斷瀏覽器改主頁)。

圖14

通過進程名稱獲取進程Pid:

圖15

而後註冊DriverReinitializationRoutine。

2.2 初始化保護函數

首先鎖定自身文件，防止被殺軟讀取，保存驅動全路徑並且隱藏自身驅動對象:

圖16

查詢系統所有模塊:

圖17

挑選其中的系統模塊 然後複製其中驅動文件名和驅動文件路徑:

圖18

之後系統就會多出兩個一模一樣的驅動文件。

然後註冊文件MiniFilter註冊表回調保護自身註冊表和禁止殺軟模塊載入:

圖19

註冊文件過濾防止模塊載入:

圖20

註冊註冊表回調保護服務項目:

圖21

然後創建系統線程等待桌面進程啟動後保護自身註冊表項目:

圖22

等待桌面進程啟動後保護註冊表項目:

圖23

註冊表回調發現一旦設置或者刪除自身註冊表項目 就返回拒絕並且通過開關控制。

圖24

文件過濾中:

圖 25

判斷是否為瀏覽器進程:

圖26

如果是這些進程中且為以下模塊則返回STATUS_NO_SUCH_FILE。

圖27

圖28

2.3 修改瀏覽器主頁

主要是在進程回調中實。 判斷是否為瀏覽器進程,然後通過修改命令行方式強行跳轉:

圖29

判斷瀏覽器進程:

圖30

通過遍歷瀏覽器進程名數組實現:

圖31

瀏覽器進程列表為:

圖32

獲取進程命令行:

圖33

通過獲取PEB中相關結構實現:

圖34

獲取進程命令行:

圖35

而後 SafeChangeProcessCommandLine 修改瀏覽器進程命令行:

圖 36

判斷哪些窗口名或者是進程命令行跳過然後拼接命令行參數:

圖37

實現瀏覽器主頁修改:

圖38

修改命令行函數:

圖39

2.4 關機回調

會清理調所有其他的註冊表回調，並且重新回寫自身服務項目。

圖40

先摘除自身保護:

圖41

而後根據系統硬編碼摘除其他的註冊表回調便於將自身寫入:

圖42

然後重新寫入註冊表項目:

圖43

3 中毒現象和查殺

主頁被修改

圖44

多了兩個一樣的模塊:

圖45

近期在上述站點下載過軟體的玩家，都有可能被該驅動木馬感。建議玩家一旦發現瀏覽器主頁被反覆篡改現象時，儘快使用安全軟體 對設備進行掃描查殺。

360安全衛士於國內率先實現對該頑固驅動木馬的查殺清理，在此也提醒玩家盡量不要使用外掛，更不要聽信外掛誘惑關閉殺軟，給惡意木馬可趁之機。

圖46

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！