西西软件园多重安全检测下载网站、值得信赖的软件下载站!
软件
软件
文章
搜索

首页安全中心病毒漏洞 → cf三尸蛊是什么?CF三尸蛊病毒之庖丁解牛

cf三尸蛊是什么?CF三尸蛊病毒之庖丁解牛

相关软件相关文章发表评论 来源:西西整理时间:2012/9/4 11:43:55字体大小:A-A+

作者:佚名点击:11次评论:0次标签: CF

  • 类型:手机工具大小:2.8M语言:中文 评分:6.8
  • 标签:
立即下载

  电脑管家云安全中心监测发现,近期一款名为“CF三尸蛊”的CF盗号木马四处蔓延。这是一款带驱动的MBR型木马,属于远控木马,隐藏性高、内部瓦解、持久性强。黑客通过CF游戏外挂捆绑此木马病毒进行盗号,CF游戏玩家需要提高警惕。

       该木马会感染系统文件,破坏用户的安全软件,收集用户信息,修改用户浏览器的主页,连接黑客远程计算机使用户电脑完全被黑客掌控。此外,黑客在外挂中捆绑的木马具有较高的隐蔽性,并且能够破坏部分杀毒软件的云查杀功能,当用户出现账号被盗情况之后,启动杀毒软件云查杀扫描,部分杀毒软件会出现连接失败等异常情况。

       该木马是怎样隐藏?怎样内部瓦解玩家电脑的呢?让我们一起透视它的行径。

透视1:三重保险——进入玩家电脑

为了确保木马成功进入玩家电脑,黑客使用了三重保险来保证木马自启动成功:修改用户系统的MBR即用户硬盘的主引导区记录,确保优先注册系统启动;感染beep.sys系统文件

图1

创建木马驱动服务:释放cp.exe(功能以mima1用户运行程序)和拷贝自己到C:\Temp目录,创建mima1(Administrators权限)的用户。利用cp.exe Administrators权限断开用户网络和安装木马的驱动程序。

图2


通过 IpConfig /Release 命令断网避免安全软件的云查,断网后安全木马驱动模块。


透视二:注入木马主体——散布“害虫”内部瓦解

通过驱动程序来监视系统中部分进程的创建过程,并把safemon.dll(病毒释放的主模块)注入到所创建的进程中。以达到从内核全速瓦解玩家电脑的目的。过程如下:

①  释放C:\\Windows\\System32\\safemon.dll(病毒主体文件).

②  注册系统创建进程通知函数 PsSetCreateProcessNotifyRoutine,过滤部分进程的创建行为,对①中释放的safemon.dll进行注入。

透视三:屏蔽安全软件云查杀——幽禁用户安全部队

该木马一手在玩家电脑内核翻云覆雨,一手又想在电脑网络只手遮天。它屏蔽了一些安全软件的云查杀IP地址,使得安全软件部分功能失效,无法进行云查杀或更新。

透视四:禁止用户浏览安全厂商网址——切断救援

除了软化安全软件对自身的威胁,木马还防止用户自己去查询和求救。其主体safemon.dll 会修改用户浏览器主页,过滤部分安全软件厂商的网址,来禁止用户查询相关信息。让用户仿佛在一座孤岛上,绝望沦为“鱼肉”。


透视五:完美驱动级隐藏——立足长远包藏祸心

为了持久地破坏用户电脑,成功远程控制,该木马还费尽心思,改头换面,释放并安装NtHook.sys驱动程序,主要是HOOK内核中文件与注册表操作函数以达到隐藏自己的目的。恣意来日方长的远程连接木马作者计算机,使用户计算机成为“肉机”。

     综上五种透视,CF外挂所捆绑的木马可不亚于CF激战本身。QQ电脑管家安全中心提示广大游戏玩家,慎用外挂,安全游戏。目前电脑管家已经成功拦截该木马,为你的激战保驾护航。

    相关评论

    阅读本文后您有什么感想? 已有人给出评价!

    • 8 喜欢喜欢
    • 3 顶
    • 1 难过难过
    • 5 囧
    • 3 围观围观
    • 2 无聊无聊

    热门评论

    最新评论

    发表评论 查看所有评论(0)

    昵称:
    表情: 高兴 可 汗 我不要 害羞 好 下下下 送花 屎 亲亲
    字数: 0/500 (您的评论需要经过审核才能显示)