外围知名博鱼官网

传奇外挂携带恶意病毒 劫持DNS、用户主页及流量!!!
  • 更新时间:2025-12-15 18:51:53
  • 开发经验
  • 发布时间:16天前
  • 2

近日,一款名为“万千辅助”的传奇插件(官网:hxxp://

传奇外挂

传播方式

其官网提供了收费版和免费版两个版本的辅助程序,并捆绑了一个名为“传奇万能传输”的程序。这些软件都带有Strkon病毒。

官网还有一个促销QQ群(172723801)。群里有管理员定期推广新的辅助下载地址和更新方式。以下是病毒发生以来用于推广的域名和QQ群。

推广链接

病毒样本简要分析

病毒整体逻辑如下图所示。受害者在通过病毒推广网站下载“万千辅助”客户端时,也会下载“传奇万能传送”。这些软件都带有Strkon病毒。当运行辅助客户端或传输时,Strkon将被释放并加载。该病毒驱动程序负责锁定用户的浏览器主页并劫持Bing等网站流量。同时,它与远程CC服务器通信以获取更新和要执行的病毒策略。

784bdddd929cb965d33cbb854f35c2ce.jpg

Strkon(SHA1:93ec2e1f0cbe7f64c8ef3b8b17257bc9e49e2085)文件属性如下:

aa3f1b719e1b64b1ae4e577a254d8b99.jpg


a544498b7e0905c836e61df448eb9b04.jpg


外围知名博鱼官网被劫持到传奇私服入口,以及传奇辅助和各类加速器的推广页面。劫持后的主页如下图:

d28f7c37b297adfde7885016c631aa44.jpg

B:DNS劫持病毒会从CC服务器获取需要替换的DNS配置,替换本地DNS设置,并删除本地hosts文件,从而完全接管用户的DNS服务。

C:劫持流量我们发现该病毒会劫持以下各大网站的流量

0f8503019cb907c593e8850a828b863d.jpg

D:云控病毒作者在公有云服务器上搭建了CC服务器,将各种病毒所需的配置信息加密存储在这里(格式为#-START-#+加密配置+#-END-#)。病毒每次请求所需的配置信息时,都会解密然后执行。同时,这里还配置了病毒更新。下图为病毒云控使用的一些链接及其对应的病毒功能:


27299fc8d3204b1eb3103a8cbd3f34d3.jpg

E:驱动程序对策与大多数Rootkit 病毒一样,Strkon 也执行驱动程序层对策。病毒驱动加载后,会劫持系统原有驱动tcpip.sys,并隐藏自己的对象名称,以避免被杀毒软件检测到。并且通过hook PsSetCreateProcessNotifyRoutine、PsSetCreateThreadNotifyRoutine、PsSetLoadImageNotifyRoutine、IoRegisterShutdownNotification、CmRegisterCallback等众多系统API,设置系统回调,使得病毒清除极其麻烦。

截至发帖时,virustotal 上只有3 家公司可以检测到该病毒:

dc9aa540d6ee99b1807f121ae78a9a4f.jpg

总结游戏外挂真的能给游戏带来乐趣吗?外挂只会让游戏本身变得不那么公平。同时,游戏外挂也是病毒传播的主要渠道。大多数插件都会携带病毒木马,悄悄威胁您的信息安全。因此,我在此提醒广大玩家,安全、合理、公平地玩游戏。

我们专注高端建站,小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验,每一个项目承诺做到满意为止,多一次对比,一定让您多一份收获!

本文章出于推来客官网,转载请表明原文地址://www.99hyw.cn/experience/23151.html

扫码联系客服

3985758

回到顶部