您的位置 首页 今日新开服

萌娘百科 万物皆可萌的百科全书_dnf私服爆破端口

本页面收录赛尔号的相关事件,以页游为主,欢迎随时补充。

2013年恶灵兽事件

2013年2月8日版本更新当天实装精灵“恶灵兽”,在当天早上约9:00之前出现了可以使用胶囊捕捉活动中对战的小形态的BUG,部分玩家这样提前获得该精灵,而正常渠道需要进行原定约3周的养成才可获得。2月8日后部分玩家捕捉的小形态被回收,直到2月19日官方才发出通告,于2月20日开始加速恶灵兽的养成,没有使用BUG的玩家很多于2月20日获得,但获得后的恶灵兽居然只是50级,并非活动中显示的100级,而且获得不了小形态,同时,卡BUG的玩家本来不能领取称号,但2月19日后也变得可领取,引起了非常多没有卡BUG的玩家尤其是喜欢收集图鉴的玩家的不满但恶灵兽的强度在当时非常高,因此大部分玩家也“失忆”了。事件到这里还不算完,又过了两个多月恶灵兽回归后推出了刻印,但最为荒诞的是这次甚至还出现了卡了BUG的玩家可以领取刻印,没卡的反而不能领取的BUG,令部分玩家开始对恶灵兽转黑。

急刹小蜂

2013年7月初推出了一个能够无限刷体力合剂的活动,但很快被一个百度ID为“击杀基德小分队”的玩家举报,结果无法再刷了,击杀基德小分队也引起公愤,但其还振振有词“触犯了淘米的利益”云云,后来其又注册了一个叫“急刹小蜂”的ID(此ID为其后来主要使用ID),还在继续此类送妈行径,包括且不限于举报其他良性BUG(如下方红牛BUG)、恶意PS其他用户照片抹黑其他用户、诓骗其他用户可以代练结果收到钱后玩失踪最后用骗到的钱购买100R“波塞冬”并不时招摇过市等等。最后于2014年8月被洗号和被赛尔号贴吧驱逐。

红牛事件

2013年8月推出的收费精灵“坎贝尔”在刚更新时有人发现了无限刷精元的BUG,具体为将电脑弄得很卡,然后每次进界面都可使用赛尔豆召唤,有人这样刷了很多个,部分玩家的被回收或被封号。此事件当时在以官方论坛为中心的社交网络闹出很大动静。后来推出的收费精灵“戴斯”、“奈法里安”等也出现过类似的BUG。

dnf私服爆破端口

722事变

2014年7月22日甚至不是正常更新日突然将刻印系统改版,之前一只精灵只能使用一个全能刻印,改版后变成能使用两个,而且大部分全能刻印变成了需要使用大量赛尔豆获取,使得土豪和平民的差距再度拉大,同时部分玩家赛尔豆告急,引起了不少人退游。

206事变

2015年2月6日版本更新后实装数年前的剧情精灵“咤克斯”,但很多玩家在打到活动的最后一关时发现对方必定秒杀我方精灵,有的玩家当时直接一键了,但紧接着有人发现金色火焰或减伤能量珠可以防秒杀,于是又有很多玩家装载这些去挑战,但又有部分玩家发现击败对方后对方又复活了,再击败一次又复活了,又有一些玩家放弃了挑战,但也有玩家第四次击败对方后终于获胜,就此获得了咤克斯,但没过多久金火和减伤珠就被封了,甚至还是在线封的,有的人甚至在战斗中突然就失效了,咤克斯变得无解,就此便形成了臭名昭著的206事变。本次事变甚至还成为了2015年黑暗时代的开端,在那之后的大半年里时有“必先必秒4命”关卡出现甚至有必先必秒四条命还需要三回合内击败的绝对无法完成的关卡。

226事变

2016年2月26日版本更新后王之哈莫、重生之翼、神·哈迪斯等的魂印突然失效,以德马克为代表的一切锁伤效果也失效,弹伤技能也变得只能弹一半伤害,随后官方奥特曼这个****先说是“这周的PVE除了王之哈莫的魂印以外都没有改,只有这周的BOSS更新了,以前的一样可以打”,但是仍然群情激愤,又过了几小时,官方改口说是因为“修其他BUG导致王哈失效,明天便会重新有效”。此事件中官方丑恶的嘴脸可见一斑。

2016年暑期DDOS攻击事件

2016年7月26日和7月27日晚很多玩家突然无法登入游戏,登录时显示“非常抱歉,您可能受到移动网络运营商的端口限制”,29日官方发布公告是遭受了多次DDOS攻击,已向公安机关报案并配合立案侦查,随后向玩家发送了略显廉价的补偿。但此事件过后的一段时间内仍不时有玩家无法正常登录。

春季联赛事件

2016年11月开始的春季巅峰联赛中“水韵花都战队”恶意卡人后不道歉甚至还辱骂其他用户,并且还数次加入贴吧群蓄意搞事,还有“亚瑟王之桌战队”也蓄意栽赃其他战队,不久这两个战队被赛尔号贴吧驱逐。又过了约一个月水韵花都战队的队长被驱逐。

而到了本次联赛决赛时的2017年4月30日,玩家先是知道了比赛现场居然是在地下三层且不通风还狭小(据称大约只有一个教室大)的地方,且当时天气闷热现场却甚至连空调都没,去了现场的人此时便开始心生不满,但是因为去现场签到的奖励还不错,而且还可以代签,大部分人这时候也没有再说什么。

但当天晚上,玩家得知不是仅签到就能获得奖励,而是要看到最后凭现场发放的券领取,事件便被炎上了,因为撇开现场恶劣的环境不说,比赛本身也可以说毫无观赏性可言,却持续了7小时之久,其中甚至还有着从远处乘飞机来到这里而早走的玩家。而且据称上次联赛的冠军这次参赛被飞王控场连续5次以上不中、连续瞬杀对面朱雀两条命等,而且兑换码当时还无法兑换,且也有部分玩家找代签被骗钱,这一切令玩家更是对不自量力办线下赛的行为群起攻之。

到了5月1日,官方才改为签到即可获得奖励,而且当时的赛尔号贴吧内还规定不允许发关于本次联赛的负面内容,但经过这次足以看出赛尔号并无电竞的资质。且原计划接下来举办的夏季联赛也没有照常举办,之后也再也没有举行过什么联赛。不然下一次很可能就是在路边搭几个遮阳伞摆几台笔记本了…

双索伦森事件

2017年6月30日版本更新后实装索伦森的完全体形态“混沌魔君·索伦森”,刚更新时出现了可以把超进化形态“魔君·索伦森”放在精英收藏然后用没有索伦森的价格一键获得,比用魔君索伦森一键进化多花20R然后可以同时拥有索伦森的超进化和完全体形态的BUG。很快便被紧急修复,之后回收了第二个索伦森并补偿了两个“违之梦魇”刻印和一个通用刻印激活水晶,但某官方人员的言论又是奥特曼那个司马飞舞和部分贪婪的玩家令此事件一度被炎上。

831布料事变

2018年8月31日一些穿着较为暴露的雌性精灵的形象突然被加了“布料”,相当多精灵中枪。具体可见[6]。但是形象极其暴露的斯嘉丽却免遭毒手,因此被称为831幸存者

1227事件

dnf私服爆破端口

2019年12月27日版本更新后,玩家发现不羁·弗里德的狮盔因描述问题被削弱了,BOSS的先制+6变成必先(4层自然祝福的圣光莫妮卡的先制+7技能快不过)同时自己打BOSS的伤害明显变低了,且BOSS打自己的伤害明显变高了,经部分玩家测试疑似为除体力外全属性增加了100(一说80),并且还伴随2020年费(不同版本预告)和弗里德同时被削弱。此时事件开始炎上,玩家开始集中攻击策划,不久官方说BOSS属性增加被修复了,当晚策划说也说会解决弗里德的问题并补偿涉及到的玩家100钻石,直到28日贴吧里甚至还因为与这些问题擦边的其他问题而变得混乱不堪,并且有人发现BOSS属性仍然不正常,100钻石也没收到,最后直到30日官方才说BOSS属性问题为周五修复时BOSS为31个体,,会修正为28个体,性格加成1倍,“修复”的过程与226事变神似,而且更新前BOSS为随机个体(平均15-16)和性格,BOSS仍然变相增强了。同时还说明27日登陆过并拥有伽玛·千花、不羁·弗里德和弗里德中任意一只的玩家会在5个工作日内收到100钻补偿,并开启了一个如何改动20年费的投票,事件才算基本平息。总结下来本次短短几天内竟在游戏内外发生了一连串事件,在赛圈是史无前例的。[1]

zoom外挂事件

dnf私服爆破端口

2020年5月底开始有玩家爆出一个叫做“zoom”的玩家先是在2019年通过黑服务器炮制怀旧服全时间登录器(正常只有21-24点可登录)、使用FD获取正常无法获取的雷伊、盖亚等精灵的精元并贩卖,同时还为此做了一个锁IP的软件,但不久其“合作伙伴”“小鲁班”将不锁IP的版本公开了,此时该软件开始被许多人贱卖,结果zoom一看自己没法恰烂钱了于是把FD源码公开了。[2]

随后其销声匿迹了一段时间,又在2020年4月宣布制作私服,还要以“捐款”的名义,而且不断利用头部射击“轰炸”怀旧服,甚至还扬言“可以令全服掉线,想玩的要找我买白名单”等。后其私服被攻击后气急败坏,便公开了掉线软件,且其私服出了问题准备跑路,于是使用与其对战就掉线的外挂“霸占”人最多的服务器,又令全服掉线后登入自己批量注册的号霸屏,后来甚至疯狂到了将所有骂他的人黑名单,挂在服务器上循环令人掉线,很多人花了大量时间玩的怀旧服号无法再登入了,一段时间内多人去向官方反馈却没有作用,zoom便丧心病狂到了去轰炸正服,很多人在进行PVP对战时掉线。最终官方修复了掉线的漏洞,封禁了zoom并向玩家补偿300圣战奖章等。[3]

邮件系统被黑事件

2020年7月31日版本更新后很多玩家收到了游戏内标题为“cogod 额滴神”,正文为“给你妈一小/中/大刀/拳!+颜表情”,同时附带赛尔豆或泰坦之灵的邮件,刚开服时部分玩家怀疑这是官方为之,当天下午官方发出通告说这是服务器被攻击,并给予玩家V8刻印、圣战奖章等补偿。而收到这样的补偿后又有玩家产生了让黑客每周都黑一遍或骂得更厉害的想法……

2020年11月股东外挂事件(暂定名称)

2020年11月上旬突然出现了一些PVP对战中属性异常的截图或视频,大部分显示为血量达到一千好几百或者一个先手能打出远超正常的伤害等,11月9日开始此事件被炎上,玩家均认为这是有人使用外挂,部分玩家猜测为WPE,并且还有开挂者是“股东”,充值了20余万元等传言与其出言不逊攻击大部分玩家的聊天记录截图流出,截图上显示其QQ昵称为“阿古茹茹”。

dnf私服爆破端口

此事件令赛尔号游戏和贴吧等变天,不少玩家退游甚至销号,也有很多玩家认为游戏很可能快倒闭了,也有人提出这是平时游戏官方就几乎无法使玩家信任和满意,这次事件只是导火索的观点。

11月10日官方回应视频为用特殊手段卡进正常渠道无法进入的老巅峰之战突破模式和用其他素材合成,永久封禁了两个“视频传播者”的账号,其中一个账号“ 102810963 ”被扒出是“惯犯”,其2016年就使用外挂刷取巨量通用刻印激活水晶并消耗了将近800个,当时便一度被“永久封禁”,但据官方说法其“认错态度良好并赔偿经济损失”,便改为仅封禁7天,而玩家之间流传的版本是其去淘米公司托关系花了8000元解除了永封,其在2017年夏季联赛期间还刷过刻印。

目前事件到那两个号被封便没有下文,但也有人认为近期流出的图的确是P的。目前也有人在追踪102810963有没有再次秽土转生。

[4]

2021春节档事变

一张图看懂2021春节档事变

209事变

20210209版本更新出了一个常驻精灵抽奖活动。原价998钻石()的精灵如果要通过保底获取的话需要大约1700元。反向打折日神仙

224事变

2021年2月24日,赛尔号页游官方账号放出20210226版本的活动更新预告。其中一项内容表明,在该版本的活动中,“神兽冠名刻印”将加入刻印抽奖活动。

“神兽冠名刻印”本身具备颇高的数值和稀有度,且具有情怀效应,在往年仅作为春节活动免费回归过一次。神兽刻印进入抽奖活动,不光极有可能加剧目前PVP领域“军备竞赛”的风气,进一步拉大重氪玩家与微氪、无氪玩家间的游戏体验差距,也是对部分玩家情怀的践踏。

此外 鉴于此前玩家已体会到抽奖类活动具有出率低、氪度大等负面特点,这一活动引起了大量现役玩家的不满,史称“224事变”。 自此赛尔号正式结束黑暗时代,迎来阴间时代

226起义

dnf私服爆破端口

在“224事变”后,玩家开始寻求可以表达不满的方式与途径,其中广为接受的方式就是在2月26日晚上七点的梦想学院直播上高呼自己的需求开除典狱长!和宣泄自己的不满日你妈!退钱!。

但是该次起义并不顺利,当晚该直播被冲到热度第四名(一说第二名),而榜一舰长在直播间被禁言,最后梦想学院官方账号在直播中先后开启了5级粉丝墙和10级粉丝墙导致了起义的失败。淘米:没钱还想骂人?想啥呢?。之后还有该榜一舰长在官方QQ群被禁言的消息流出。

虽然226起义以失败告终,不过却让所有常长老都团结了起来,是一次具有深远意义的自卫反击战。

春节档事变后续

赛尔号策划力压原神、DNF、三国杀等著名飞妈游戏策划荣登2021年3月被喷策划TOP1 说的很光荣似的

宽屏模式 显示视频

dnf私服爆破端口

因为大量现役玩家的不满和其他游戏玩家的吃瓜,赛尔号的百度指数猛超口袋妖怪 丢人现眼

dnf私服爆破端口

可以大幅降低PVE难度的收费精灵被阉割汇总

圣者炎龙:2013年3月推出,其技能“龙炎吐息”可以几回合内烧死BOSS,约2014年末该技能失效(仅残留名称,无任何实际效果)。

斯蒂亚:2013年3月推出,其技能“风神灵动斩”配合可以降低BOSS属性的技能可令BOSS无法攻击,2014年3月的某次更新该效果突然被封。

泰姆斯:2013年4月推出,其技能“无限复制”可以使我方精灵PP无限,在2014年3月索伦森实装后很多人利用这个打索伦森,然后没几天便被封。

勇气号:2013年5月推出,其技能“旋风破”有几率令BOSS无法攻击,该效果约2013年8月末被封。

凯普特:2013年5月推出,其技能“盾牌猛击”有几率令BOSS无法攻击,该效果2013年9月末被封。

布雷兹:2013年6月推出,其技能“深度恐惧”可令BOSS几回合内无法攻击,一周内便被封。

dnf私服爆破端口

英普瑞斯:2013年7月推出,其技能“迷惑之光”可以弱化BOSS,2013年12月被封。

dnf私服爆破端口

希尔妮妮:2015年9月推出,其魂印刚出时可令必定秒杀的BOSS无法击败自己,有人使用这个击杀了必先必秒4命的BOSS,不久便被封。

深渊狱神·哈迪斯:2016年6月推出,其魂印可令BOSS几回合内无法出招,2017年4月突然被封。

注:因收费精灵被封为先有意引诱玩家购买然后看卖出了足够的数量便可能突然封,性质恶劣不同于免费精灵,故此处只列出收费精灵。

dnf私服爆破端口

相关文章:战舰少女撕逼事件 幻萌与派趣7月纠纷详情[图]

派趣战舰少女官网发布公告,称“近日流传大量以个人名义发布的不实信息。一切信息以官方发布公告为准,各位提督请勿听信以个人名义发布的消息 ”。此公告被认为针对幻萌一直没有官方微博,一切信息均为主催铃兰在个人微博上发布的情况,之后幻萌开设了官方微博,铃兰称官方公告不再通过本人微博发布。

7月11日,派趣在苹果app store中发布了战舰少女全球版,而在合同中派趣只具有战舰少女中国大陆及北美的运营权,并且据海外客户反映全球版的语言仍为简体中文,未替换为其他语言,登陆端口为国服登陆端口。随后铃兰喵发表微博,称幻萌“发现派趣昨天在全球范围发布了战舰少女的简体中文版(这属于严重违约行为,派趣只有北美和大陆的代理权)。我们正在走流程让这些非法版本下架”。(原微博已删除)

7月12日,派趣战舰少女官网以及百度战舰少女贴吧发布信息,开放七月养成建造活动。活动时间为2015年7月13日至2015年7月20日。

此次活动引起了不少玩家的怀疑:①之前两次圣建在活动开始很久之前就发布了消息,而这次圣建在活动之前的一天才发布消息;②之前两次圣建都有全新的稀有金色船只开放建造,而这次活动竟然没有新的稀有金色船,内容上仅有三艘新的紫色船只,感觉大打折扣。

12日晚,铃兰喵发布微博,称“将于明天开放的“战舰少女七月养成建造活动”是由派趣篡改游戏数据开启,幻萌不知情也未经过测试,因此可能会有无法预知的BUG出现,请各位玩家谨慎参与。 顺便说下这次投放的船只和幻萌的原定计划有很大偏差,至少少了8条新船以及3条重要船只。”(已删)

而后在回复玩家的评论中,铃兰喵称幻萌的服务器权限已经在8日被派趣单方面移除,目前幻萌无法对游戏进行任何维护和操作。

7月13日,活动开始后,部分玩家发现游戏出现bug:将“科罗拉多”“马里兰”“西弗吉尼亚”三艘船只自带的“U国双联16英寸炮”替换为其余装备,重新登陆游戏后,发现替换的装备消失或恢复为初始装备。派趣战舰少女官网发布公告,称“复查后并无此问题发生。如有玩家发现问题,请及时与官方客服人员联系,核查并确认问题后,我们将会对所有玩家补偿200钻石,并将额外对发现问题的玩家奖励1000钻石。同时也请广大玩家不要随意轻信某些别有用心的人恶意造谣。”

之后有玩家发现在2月中旬前,玩家充值记录显示的对象为派趣科技,而在此之后充值对象为派娱科技,两家公司并不是同一公司。同时,有海外客户贴出充值记录,其转账对象为一私人账户。

相关文章:盘一盘2018年那些难缠的顽固病毒木马

【文章摘要】 2018年活跃的Bootkit/Rootkit病毒家族包括暗云、独狼、外挂幽灵、血狐、紫狐、隐魂、双枪、主页保安木马等等家族。这些病毒木马被归类为顽固病毒木马,普通用户用一般的方法较难清除干净,简单格式化重装,有些病毒还会再次复活。

一. 前言

有一类病毒木马令中招者无比头疼,怎么头疼呢,就是普通网友一旦中招,一般的杀毒方法杀不干净。用杀毒软件杀不完,格式化重装行不行?但这类病毒一般网友格式化重装很快发现又来了。什么样的病毒如此顽固,今天让我们来盘一盘。

顽固病毒主要指利用计算机启动后较早的时机获得执行机会,运行在系统底层的Bootkit病毒及Rootkit病毒。Bootkit病毒会感染磁盘MBR、VBR,在系统引导阶段就获得执行控制权,有启动早,隐藏性高等特点。Rootkit病毒在Ring0层执行,有着较高的权限,往往通过挂钩磁盘钩子,注册回调等技术手段实现自保护,有与杀软对抗激烈,变种多等特点。

2018年较为活跃的Bootkit/Rootkit 病毒家族包括暗云、独狼、外挂幽灵、血狐、紫狐、隐魂、双枪、主页保安木马等等家族,其中下半年最为活跃的Rootkit病毒家族为独狼家族,仅电脑管家进行披露的独狼家族相关的病毒感染事件就有3例,传播渠道从独狼一代的盗版GHOST系统到独狼二代的激活工具,从主页锁定,刷量获利到传播盗号木马,到强力破坏杀毒软件功能,可谓是无恶不作。

Bootkit最为活跃的病毒家族为暗云及隐魂系列,其中暗云不仅频繁更换C2网址,还首次发现和Mykings僵尸网络进行捆绑传播,此外国内厂商披露的暗云变种”隐匿者”也加入了挖矿的行列。Bootkit病毒家族隐魂最早在2017年被披露,其变种“隐蜂”最主要的变现方式也是挖矿。

Bootkit/Rootkit病毒传播渠道可以分为四大类,主要包括盗版Ghost系统、激活工具、游戏外挂辅助及下载器、第三方流氓软件,及通过漏洞利用弱口令爆破等传播新方式。值得注意的是,腾讯御见威胁情报中心在不同的时间段随机抽取了各大系统下载站点共对270个系统下载链接下的系统进行检测,发现预埋病毒导致的系统异常的下载链接共202个,异常占比高达75%。

本文主要从Bootkit/Rootkit病毒活跃家族、传播渠道、对抗技术、典型案例四个方面盘点2018年病毒的主要态势及变化。

网民一旦中了顽固难杀的病毒,一般的查杀方法容易失败,推荐下载电脑管家急救盘(急救箱PE版),创建急救U盘,用急救U盘开机查杀病毒。可访问这里下载电脑管家急救箱PE版:

二. 2018年活跃 B(R)ootkit病毒家族盘点

Bootkit/Rootkit病毒依然是C端普通用户感染后查杀难度较大的主要病毒类型,2018年较为活跃的Bootkit/Rootkit 病毒家族包括暗云、独狼、外挂幽灵、血狐、紫狐、隐魂、双枪、主页保安木马等家族。

典型的Bootkit/Rootkit病毒感染事件包括:

SQL SEVER弱口令爆破入侵,暗云,Mykings等多个病毒家族捆绑入侵传播事件;

酷玩游戏盒子伪造知名公司数字签名,传播Steam盗号,独狼Rootkit木马事件;

“外挂幽灵”团伙曝光 系双枪、紫狐两大病毒家族的幕后推手;

页游微端《血盟荣耀》强锁主页,劫持50余个知名电商和搜索网站流量 等等。

腾讯御见威胁情报中心对Rootkit病毒的签名信息进行统计,发现Rootkit病毒的签名信息高度集中,部分签名会被泛滥使用,其中以“上海预联软件技术有限公司”及“双双 何”最为严重被木马病毒使用的最为广泛。

被病毒滥用签名

对2018年度主要的活跃Bootkit/Rootkit进行统计,其主要的变现获利方式有刷流量,锁主页,恶意推广,网络攻击,挖矿等。其中锁主页仍然是最主要的变现方式,占比高达35%,其次为刷流量及软件推广,占比30%,其中暗云,独狼等家族其主要变现方式就是锁主页及刷量。随着挖矿黑产的兴起,挖矿获利也逐渐增多(占比10%),如“隐蜂”木马,暗云新变种等Bootkit木马也转投挖矿获利。

顽固木马的主要获利变现方式

三. B(R)ootkit病毒传播渠道

1. 盗版Ghost系统

盗版Ghost系统长期以来一直都是病毒传播的重要载体,更为重要的是,预埋了病毒的盗版Ghost往往利用搜索引擎厂商的广告竞价排名,使得普通网民在搜索“Ghost”系统,“win 7”,“激活工具”等相关关键字时显示在搜索前几名的绝大部分都是带毒的系统,即使网民试图通过搜索引擎搜索“净化版”,展示的搜索结果仍会在靠前的位置展示内嵌病毒的下载链接。

带毒Ghost系统

腾讯御见威胁情报中心对各大站点的Ghost系统进行了检测发现有几个特点:

a. 这些盗版Ghost系统的下载链接会被频繁的更换,其主要目的是为了躲避安全厂商对这些下载链接的报毒提示;

b. 这些带毒的系统绝大部分会利用搜索引擎广告进行推广。由于国内软件使用习惯等原因,普通网民获得这些安装系统的主要途径就是网上搜索,这导致了有重装系统刚需的用户有极大概率会下载这些存在风险的系统而成为受害者;

c. 提供这些Ghost系统的网站基本都在显要位置推带毒系统下载。

腾讯御见威胁情报中心在不同的时间段随机抽取了各大系统下载站点共对270个系统下载链接下的系统进行检测,发现预埋病毒导致的系统异常的下载链接共202个,异常占比高达75%,这里的系统异常指由于系统预埋病毒导致的主页被锁定,暗刷流量,流氓推装其他软件等系统异常问题。

异常系统占比

部分问题下载链接及站点

盗版Ghost系统已成病毒传播温床,重要的原因是其背后存在利益驱动。首先是盗版Ghost系统通过广告竞价排名获得网络访问量以吸引用户下载安装,随后Ghost系统中预装病毒,最终实现软件推广安装,劫持主页等手段进行获利。获利之后再继续加大推广力度,形成一个完整的闭环产业链。

鉴于盗版Ghost系统,各类激活工具已长期频繁地被病毒团伙利用传播,建议网民尽量使用正版软件。

病毒获利链

2. 盗版激活工具、游戏外挂及各类下载器

游戏外挂,各类辅助工具也是病毒传播的重要载体,其目标为游戏玩家,而传播这些外挂辅助工具的主要是各大外挂网站,包括七哥辅助网()、我爱辅助网()、屠城社区等多个游戏辅助网站。

经常被用于和病毒打包捆绑传播的外挂辅助工具包括荒野设备解封器、单板方框透视、DNF梦幻装备、帝王破解版等。2018年披露的通过外挂辅助进行传播的Rootkit/Bootkit包括双枪木马,紫狐,外挂幽灵等病毒家族。

流行的带毒游戏外挂、辅助工具

2018年,被用于传播病毒的激活工具中最活跃的莫过于小马激活工具。激活工具有多个变种,打着win7 激活、系统激活、office激活的名义,换各种马甲传播,病毒文件往往和激活工具捆绑打包,运行后便会染毒。独狼2代就是主要通过激活工具进行传播。

小马激活工具

3. 第三方流氓软件

除了前面提到的的盗版Ghost系统、激活工具、下载器等传播渠道,第三方流氓软件也是Rootkit/Bootkit病毒的重要传播渠道。

第三方流氓软件的主要特点是,这些软件往往都是用户主动去进行下载安装,看起来和正常的软件没什么区别,都有完整的安装及展示界面,但是这些软件却神不知鬼不觉地往用户电脑机器上安装病毒文件,这类传播渠道往往有隐秘性,看起来像“正规”商业软件,用大量网民使用。

这类传播渠道的病毒感染安装主要有两种方式,一种是安装完软件后并不会马上感染病毒,而是过一段时候后通过云端控制或者软件升级的方式下载安装病毒,另一种方式是病毒和软件捆绑安装。

这类传播渠道已成为病毒传播的重要推手,仅仅在2018年下半年,经电脑管家首先进行披露的利用第三方流氓软件传播Rootkit/Bootkit病毒的就有主页保安、血盟荣耀微端、护眼小秘书、酷玩游戏盒、桌面助手等软件。

护眼秘书 血盟荣耀展示界面

4. 利用漏洞、弱口令爆破等传播新方式

通过弱口令爆破,漏洞利用成功后进行投毒,以前这类病毒传播入侵方式更多的是集中于B端企业用户。但近年来随着挖矿病毒、勒索病毒的兴起,挖矿勒索等病毒为了增加查杀难度,获得更早的执行机会,也会和Rootkit/Bootkit这类顽固病毒进行捆绑传播。

其中最为典型的案例如,暗云木马和Mykings僵尸网络捆绑传播,由于暗云木马在系统引导阶段之前就获得了执行机会,其执行时机要比操作系统还要早,这就大大增加了查杀成本和难度,在这次传播事件中,首先是通过SQL SEVER弱密码进行爆破,爆破成功后投放暗云木马、Mykings僵尸病毒,随后Mykings僵尸病毒会利用多种漏洞在内网主动扩散,永恒之蓝、Telnet爆破、FTP爆破等都是病毒传播者最惯用的伎俩。

入侵传播方式

尝试SQLSEVER弱密码爆破

四.对抗技术升级盘点

dnf私服爆破端口

1. 拦截过滤

Rootkit病毒往往会注册各种各样的回调,或者hook系统相关函数,以在合适的时间点获得执行机会,在回调函数中完成相关的拦截过滤功能。以独狼一代为例,独狼系列病毒家族可以说是病毒高难度对抗的集大成者,这是一个过滤型驱动,具有完善的过滤架构,拦截过滤点包括文件过滤、网络过滤等,下图为过滤点及其使用的技术,及影响风险。

独狼Rootkit过滤点

2. 对抗杀软

Bootkit/Rootkit病毒为了躲避杀软查杀,对抗技术手段有很多,常见的一些对抗手段如下:

道高一尺魔高一丈,杀毒软件和顽固病毒的对抗是一个持续性的过程,每当病毒用一种新的方法来躲避或者绕过杀毒软件查杀的时候,很快杀毒软件也会升级查杀能力对新病毒进行查杀。走投无路了病毒也会放出大招,比如强制重启电脑以阻断查杀过程。

2018年电脑管家披露的主页保安病毒就使用了这种强对抗手段来躲避查杀,其主要逻辑为木马会不断的检查系统启动组注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder 下的List键值,系统默认该键值第一项为System Reserved,如果检查到启动组第一项不是System Reserved则暴力重启电脑,通过OUT指令直接写IO端口0x64实现强制重启,往64号端口写入0xFE后电脑强制重启以阻断杀毒软件查杀

暴力重启电脑

设备占坑

3. 自保护

这里提到的自保护主要指病毒为了防止被用户发现,或被安全研究人员分析透彻,往往会通过一些技术手段来保护自身以加大被发现或被分析的难度。

dnf私服爆破端口

最常见的自保护对象是病毒文件及对应的注册表项。注册表的保护主要是通过注册cmpcallbakck回调来完成,通过阻止或者隐藏自身注册表以达到自保护的目的。病毒文件的保护也是通过底层的文件钩子来实现。此外为了防止被ARK等分析工具发现往往会隐藏自身的模块信息。

以“血狐”病毒为例,通过KeServiceDescriptorTable拿到NtLoadDriver函数地址,然后通过调用4次硬编码查找函数(ba7011a4),找到MiProcessLoaderEntry函数,通过搜索获取MiProcessLoaderEntry地址调用,达到摘链来隐藏模块信息不被ARK工具发现。

隐藏模块信息

Bootkit的自保护主要是保护自身的MBR或者VBR感染代码及payload不被发现,比如暗云木马会根据磁盘类型和操作系统替换DriverStartIo、 AtapiHwStartIo、RaUnitStartIo等函数,实现阻止其他程序读取磁盘1-3F 扇区(MBR)。当检测到读MBR时, 返回一个构造好的正常的MBR作欺骗,检测到写MBR时,则直接pass 该操作。

MBR保护挂钩逻辑

五.典型案例

2018年下半年最为活跃的Rootkit病毒家族为独狼家族,仅腾讯电脑管家进行批露的独狼家族相关的病毒感染事件就有3例,传播渠道从独狼一代的盗版GHOST系统到独狼二代的激活工具,从主页锁定,刷量获利到传播盗号木马,到强力破坏杀毒软件功能,可谓是无恶不作。

Bootkit最为活跃的病毒家族为暗云及隐魂系列,其中暗云不仅频繁更换C2网址,还首次发现和Mykings僵尸网络进行捆绑传播,此外国内厂商披露的暗云变种“隐匿者”也加入了挖矿的行列。Bootkit病毒家族隐魂最早在2017年被披露,其变种“隐蜂”最主要的变现方式也是挖矿。

1. 独狼Rootkit病毒家族

独狼一代病毒家族最早由腾讯电脑管家于2018年6月披露,独狼一代其传播渠道主要是Ghost系统。腾讯御见威胁情报中心已在不同的Ghost系统中捕获到多个“独狼”系列Rootkit,包括Jomalone系列,chanel系列,Msparser系列,Wdfflk系列,在不同的Ghost系统里会以固定的服务名(如Jomalone)启动,每个系列有多个变种。

独狼系列其PDB信息都是PASS (过滤),都是一个过滤型驱动,具有完善的过滤架构,包括文件过滤、网络过滤、进程创建过滤、注册表过滤、模块加载过滤等。这四个系列中出现最早的是在2017年10月。此外其签名信息都有着高度关联性。

参考链接:

盗版Ghost系统携“独狼”Rootkit来袭,锁定浏览器主页超20款

独狼系列出现时间文件签信息

独狼二代重新拓展了传播渠道,并且各个病毒模块功能都得到进一步改进,传播渠道由单一的Ghost盗版系统传播演变为假冒系统激活工具传播。主要通过静默推广安装浏览器获利,并会锁定23款浏览器主页,将浏览器地址栏锁定为带推广渠道号的网址导航站,和独狼一代一大区别为从纯Rootkit驱动劫持首页,转变为内存解密Payload结合浏览器注入实现,此外还会静默推装浏览器

参考链接:

Rootkit病毒“独狼2”假冒激活工具传播,锁定23款浏览器主页

独狼系列病毒静默安装的浏览器

独狼系列最新变种,会通过“酷玩游戏盒子”、“桌面助手”、“玩玩游戏”等软件传播盗号木马,该木马累计已感染超过5万台电脑。软件运行后会首先下载伪装成WPS的病毒,再下载安装“独狼”Rootkit病毒,最终进行营销推广、恶意推装更多软件来获利。

木马作者疑似伪造“北京方正阿帕比技术有限公司”的相关信息,申请了正规的数字签名,该病毒文件会下载Steam盗号木马,因病毒程序拥有合法数字签名导致多款杀毒软件未及时查杀,这是该病毒感染超过5万电脑的重要原因。

参考链接:

dnf私服爆破端口

酷玩游戏盒子伪造知名公司数字签名,传播Steam盗号木马

独狼木马执行流程

2. 暗云木马

dnf私服爆破端口

暗云家族最早由电脑管家于2015年进行披露,18年9月国内安全厂商披露了暗云变种“隐匿者”转投挖矿,病毒暴力破解用户数据库入侵电脑,MBR感染代码获得执行后将恶意代码注入到系统进程中(winlogon或explorer进程),最终恶意代码会下载后门病毒到本地执行,后门病毒会下载执行挖矿相关病毒模块,挖取门罗币。

参考链接:

“隐匿者”病毒团伙技术升级传播病毒

暗云木马挖矿配置信息

dnf私服爆破端口

腾讯御见威胁情报中心2018年12月监控到暗云最新动态,和Mykings僵尸网络木马捆绑传播,通过MS SQL SEVER弱密码入侵用户机器成功后会执行远程脚本命令,远程脚本执行后会下载多个木马文件到本地执行包括暗云感染器、Mykings僵尸网络木马、Mirai僵尸网络木马。和以往的暗云系列相比,主要变化包括会强制结束包括管家、360等杀软进程,随后注入应用层的payload会根据云端配置文件进行主页锁定及下载执行木马病毒等功能。(参考链接:[5])

弱口令爆破SQL Server服务器,暗云、Mykings、Mirai多个病毒家族结伴来袭

暗云配置文件

3. 隐魂木马家族

隐魂系列最早于2017年进行披露,和暗云系列最大区别为payload的存储区域及hook流程有着较大差异,暗云payload存储在3到63扇区,而隐魂系列存储在磁盘末尾。

隐魂系列最新变种“隐蜂”其主要的变现方式也是挖矿,“隐蜂”挖矿木马在R3层的框架设计比较复杂,整个R3层解压后的模块配置文件总数多达30+,同时引入LUA脚本引擎实现灵活的策略控制。

参考链接:

“隐蜂”来袭:全球首例Bootkit级挖矿僵尸网络

“隐魂”木马篡改主页分析

dnf私服爆破端口

隐魂木马挖矿策略配置

4. 外挂幽灵团伙

2018年10月腾讯御见披露了外挂幽灵团伙,主要通过七哥辅助网()、我爱辅助网()等多个游戏辅助工具(外挂)网站传播“双枪”、“紫狐”等木马。

这些网站提供的多款游戏外挂工具中被捆绑多个恶意程序,主要包括锁主页程序、“双枪”病毒家族和“紫狐”木马家族等等,两个病毒家族影响了全国数以万计的电脑。

参考链接:

“外挂幽灵”团伙曝光 系双枪、紫狐两大病毒家族的幕后推手

游戏外挂捆绑的木马

紫狐是一类利用系统正常”Pending File Rename Operations”机制替换系统文件,实现开机自动启动加载驱动(自动下载软件)的恶意木马,此外木马还会会进行多次删除替换,来创建多次进程链实现断链防止查杀,木马运行后会联网下载推广安装软件来获利。

参考链接:

“紫狐木马”暴力来袭

安装文件

双枪木马是一类会感染MBR及VBR的Bootkit病毒家族,2018年8月电脑管家监测到该家族新变种,多个外挂网站会传播双枪木马,包括屠城社区、七哥辅助网等,这些网站提供的多款游戏外挂程序中会捆绑安装一款名为“开心输入法”的违规软件,“双枪”木马下载器就隐藏在这款输入法中。

中毒电脑的浏览器主页被锁定为带有“39201”计费编号的网址导航站,同时“双枪”木马变种还会在系统预留后门以窃取用户敏感信息,另外会切断主流杀毒软件的联网功能,会造成杀毒软件升级更新、下载病毒库、下载附加组件、云查杀等等关键功能均被破坏。

参考链接:

“双枪”木马专攻游戏外挂玩家,锁定主页强推开心输入法

双枪木马感染流程

5. 血狐木马

血狐木马通过二次打包并借用第三方渠道假冒传奇微端传播,携带正规白签名,且签名厂商直接伪装国内某知名游戏公司,以此获得渠道商的信任,并因为拥有合法数字签名而容易欺骗杀毒软件。

当用户在电脑安装这个假冒的传奇微端时,病毒随即释放安装血狐Rootkit。当中毒电脑用户启动浏览器访问搜索引擎网站和电商网站时,浏览器URL均被劫持到含病毒作者推广ID的链接,至此,中毒用户的每次访问,均会给病毒作者带来佣金收入。

参考链接:

“血狐”病毒伪装传奇微端

参考资料

盗版Ghost系统携“独狼”Rootkit来袭,锁定浏览器主页超20款

Rootkit病毒“独狼2”假冒激活工具传播,锁定23款浏览器主页

酷玩游戏盒子伪造知名公司数字签名,传播Steam盗号木马

“隐匿者”病毒团伙技术升级传播病毒

弱口令爆破SQL Server服务器,暗云、Mykings、Mirai多个病毒家族结伴来袭

“隐蜂”来袭:全球首例Bootkit级挖矿僵尸网络

“隐魂”木马篡改主页分析

“外挂幽灵”团伙曝光 系双枪、紫狐两大病毒家族的幕后推手

“紫狐木马”暴力来袭

“双枪”木马专攻游戏外挂玩家,锁定主页强推开心输入法

“血狐”病毒伪装传奇微端

本期总结引用多篇友商原创资料,在此深表感谢!

热门文章

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注