您的位置 首页 地下城私服

dnf私服总是感染木马-如何快速判断一个文件是否为病毒 by 是昔流芳[LSG] – 『病毒分析区』

本帖最后由 是昔流芳 于 2011-2-11 12:04 编辑

先说一下写这篇文章的背景和目的。现在吾爱的『原创发布区』和『精品软件区』人气很旺,发布的软件非常多。但也有一些小人,在发布的软件里插些小玩具,当灰客。论坛派专人检测也是很困难的,工作量太大,查不过来,因此很大程度上要靠用户自己识别,于是就有了这篇文章。需要说明一下的是,这篇文章主要是快速辨别正常文件与病毒,我自己也不是专业人员,方法是我自己总结出来的,很业余,不过我觉得还是有些用处的。如果你有更好的办法,欢迎跟帖提出。下面正文开始。

分析一个文件是否为病毒有多种方法, 比如用OD这样的调试器,用HIPS都可以达到目的。在这里主要讨论一下快速判断的方法,用最短的时间,最少的知识,来判断一个文件是否安全。 先说一下必要的工具:Sandboxie、PEID、OD以及你的杀毒软件。 比如说,我从论坛上下载一个别人发布的软件,这时候杀毒软件也许会报毒。这种情况下,先看一下报的病毒名。如果报的是“Win32/ 特洛伊木马 的变种”这样的壳,那么可以稍稍放松下警惕。对于一些壳,杀软脱不了,为了方便,就把这种壳当作病毒来处理。另外,如果是“Win32/ 特洛伊木马”以及“Win32/ 病毒”这类的,就需要注意,这个文件可能被人恶意插入木马,或者被感染过。从杀软报的病毒名基本可以判断出这个文件是真的有问题,还是属于杀软的误报。然而,也有一些例外。比如“”,这个一看就是云安全分析出来的病毒,没有什么有效的信息,所以无法通过病毒名判断是否是误判。 根据杀软的信息,可以对该文件的安全性有一个初步的了解。我想不会有人完全信任杀软的,更多的还是信任自己。用PEiD查一下壳,如果是一些简单的压缩壳,就在沙盘中运行OD,脱掉,分析。这时要做的不是一步步跟下去,而是找一下这个文件调用的API。在反汇编窗口右击,查找——当前模块中的名称(标签)。

观察一下API,这时也是有所取舍的。对于字符函数和字符串处理函数这类的,可以忽略过去;对于注册表函数、文件函数则要多加留意。比如说,看到了CreateFile,就在这个函数上下断,注意看有没有对系统敏感位置写入文件。 同样,查看字符串也是有效的方式。一般地,可以从字符串找出一些病毒的特征。比如有的灰鸽子会有“客户端安装成功”之类的字样,发现一些邮件地址以及相应密码的。这些都是很可疑的。 遇到一些猛壳,脱掉它是很困难的,这时可以借助下沙盘。

让程序在沙盘里完全运行,之后终止所有程序。

查看一下程序生成了什么。

从程序生成的文件基本可以判断是否是病毒了。 当然,也不乏一些检测沙盘、虚拟机的小东西。在病毒样本区的页面上方有在线沙盘的链接。分析的结果十分具体,可以用来参考。如果你觉得手工检测太麻烦,可以借助在线沙盘,既快又详细。

这样,举个例子吧. 这是小生对一个带毒外挂的分析,大家可以看看录像,. 先查一下壳,应该是没壳的. 此时我比较喜欢用PEiD的反汇编工具看看字符串,这个功能很方便. 注意选中的部分,. 下面将它用OD载入(在沙盘或虚拟机中进行),看一看当前模块中的名称(标签),有一个URLDownloadToFileA,这个函数可以实现将一个网络上的文件下载到本地的功能,一般的ShellCode常用到它.

在输入函数上切换断点,运行,可以看出具体的行为. 在此之后要做的就是对下载下来的这个文件进行分析(地址竟然还有效..).

一般来说微软的程序不会有这样的图标,而一个外挂莫名其妙地下载微软的东西,很奇怪,只能说是欲盖弥彰,所以可以直接毙掉了. 同理,如果用沙盘直接运行,最终会在沙盘里提取到这个文件,. 挂的这个马应该变了,与小生附件中的程序已经不同了. 如果你认为很麻烦,可以直接把它扔到在线沙盘里,让机器替你分析. 比如说我认为下载下来的这个文件nSPack壳比较难脱,或者说我根本不会脱壳,那么就打开 ,选择文件路径,然后Upload File,静候几分钟,就可以出结果,其它的在线沙盘也是大同小异.

这次找例子找的很麻烦,我没有存样本的习惯,那些发木马的检测出来之后都被封掉了,他们的光辉附件也就找不到了,

相关文章:借鸡生蛋:DNF恶意外挂登陆器分析

前言

有江湖的地方就有纷争,同样有游戏的地方也就有外挂。对于DNF(地下城与勇士)这款在国内运营了接近10年的老牌端游,大家一定不会感到陌生。由于运营时间长,受众广,DNF相关的外挂私服也比比皆是。为了能够在众多的外挂私服中,获得广大的用户群,从而获得利益,有些恶意软件作者,就将目标瞄准到外挂私服上,下面就来详细介绍这类“借鸡生蛋”的恶意软件。

1、恶意软件信息

dnf私服总是感染木马

该恶意软件通过二次打包其他第三方外挂登录器,并携带自身恶意模块,生成图标同原外挂登陆器一致的恶意程序。当该恶意软件运行的时候,会释放并启动一个名为“”的程序,其实这个文件才是真正的外挂登陆器,同时也会释放运行恶意模块,运行效果如下图所示。通过这种借鸡生蛋的方式,恶意软件作者不需要自己去开发维护外挂登陆器,直接借用第三方程序的用户来发展自己的肉鸡获取利益。

该类恶意程序最早出现在2015年10月,至今共发现其相关的恶意打包程序约160个,期间该类恶意程序一直持续更新,均伪装成DNF外挂登陆器,包括但不限于将夜DNF辅助,火云辅助,创界辅助,风华辅助,天堂辅助,契约辅助,盘龙登陆器,咸鱼DOF登录器,魔剑DNF登录器,小狐狸登录器,小三DNF登陆器,娱乐DNF登录器,昊天登陆器等。其主要功能演变如下图所示。

2、背景信息

该类恶意软件主要是通过恶意引流推广和DDOS攻击来获得利益。

通过技术手段恶意锁定用户的浏览器主页为自己的导航推广,当“肉鸡”积累到一定程度的时候,每天都会产生比较可观的利益。同时通过篡改hosts文件,劫持竞争对手的私服网址,引流到自己的网站,将竞争对手的用户转化为自己的用户。

在外挂私服这种不受法律的黑色灰色产业中,DDOS是很常见的。从业者经常利用“肉鸡”对竞争对手进行DDOS攻击,使竞争对手的服务器不能正常工作。对于游戏提供商来说,这几乎是致命的,一旦服务器遭受攻击宕机,很容易就会导致用户的大量流失。甚至有专门的网络敲诈者进行“黑吃黑”,通过恶意攻击私服服务器,敲诈私服从业者提供高额的“保护费”。

3、基本流程

下面以这款名为“盘龙登陆器”为例,分析该恶意软件的基本流程,如下图所示。

该私服登陆器运行之后,,会释放Intel类模块和Winnet类模块,Intel类模块主要负责主页锁定,反调试检测以及下载DDOS模块,Winnet类模块主要负责LSP代理劫持,。

4、详细分析

dnf私服总是感染木马

该类恶意外挂登陆器主要分为三个恶意模块,分别是Intel类主页锁定模块,Packxx类DDOS模块以及Winnet类的LSP代理模块。下面分别介绍各个模块的具体功能行为。

,其中驱动部分功能的正常运行需要应用层初始化数据来进行配合,如果单独运行驱动,将直接导致蓝屏,这也在一定程度上增加了分析的难度,值得一说的是,该恶意程序驱动层与应用层的通行采用的并非是常见的DeviceIoControl模型,而是采用的MiniFilter的通信方式。下面详细介绍它的主要功能。

浏览器主页锁定

主页的锁定是需要应用层和驱动层共同协作,这里采用了一种比较常见的“偷梁换柱”的方式。驱动层通过进程创建回调函数,得知如果启动的进程是浏览器进程,则会结束该进程,同时将浏览器启动的信息通过写文件的方式通知应用层,应用层获得浏览器的启动信息后,将需要锁定的主页以参数的方式跟在浏览器路径后面,然后打开该浏览器进程,正是通过这种方式来达到对浏览器主页的锁定。其相关实现如下图所示。

Downloader功能

应用层运行之后会开启一个线程,从网络上下载并运行Packxx类的DDOS模块。

该恶意软件的反调试保护功能主要是在驱动层实现,主要包括以下几个方面。

A)通过MiniFilter保护自身相关模块,禁止其他程序访问。

B) 通过MiniFilter检测调试工具,包括OllyDbg,Pchunter,360tcpview,netstat等调试工具,一旦驱动成功运行,这些工具都不能获得正常的运行。

C)通过注册表回调例程保护相关注册表项,禁止其他程序访问。

D)通过对象注册回调函数保护自身进程不被结束。

Packxx类DDOS模块

上下载的3个恶意模块,,,,除了控制主机的域名不一样,其他功能一致,,其具体功能如下。

伪造系统进程

伪造自身为svchost或则 dwm等服务进程,同时释放恶意模块伪装成spoolsv,wdm进程,确保DDOS模块能够获得执行。

通过云端控制DDOS操作

连接远程控制主机(,),获取DDOS控制命令,执行相关的DDOS操作。

篡改hosts文件,劫持其他DNS私服的域名,使其访问自身的恶意网址。

Winnet类的LSP代理模块

,,,主要负责中转网络数据,,,,被目标进程加载,。下面详细介绍

安装LSP服务

,,并调用其InitInstallLsp函数进行LSP服务的安装。

启动端口监听

随机监听本地的一个端口,并创建一块进程间共享内存,将监听端口存放在其中。

dnf私服总是感染木马

存放代理服务器信息

解析代理服务器信息,并将信息以及需要劫持的进程信息存放到共享内存中。

处理劫持的网络数据

从本地监听端口获得满足条件的网络连接,为每个连接开启一个线程处理劫持的网络数据。

dnf私服总是感染木马

劫持目标网络数据

,判断宿主进程是否为目标进程或则目标进程的子进程,如果是就进行网络劫持,。

5、结束语

有需求就有市场,游戏外挂和私服登陆器自有其存在的道理,我们在追求游戏快乐的同时,如需使用这类软件,请随时保持警惕。使用各大安全厂商的安全软件进行扫描检测,降低中招的可能性,如果在使用过程中,发现异常行为,请及时联系安全厂商,请求协助查杀,减少损失。

相关文章:特洛伊木马恶意软件

特洛伊木马

本文内容

特洛伊木马是一种常见的恶意软件,与病毒不同,它无法自行传播。 这意味着必须手动下载它们,或者需要下载并安装其他恶意软件。

特洛伊木马通常使用与真实和合法应用相同的文件名。 很容易意外下载特洛伊木马,认为它是合法应用。

特洛伊木马如何工作

特洛伊木马可以有许多不同的种类,但通常它们会执行以下操作:

如何防止特洛伊木马

使用以下免费的 Microsoft 软件进行检测和删除:

有关更多常规提示,请参阅 防止恶意软件感染。

热门文章

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注