电脑管家云安全中心监测发现,近期一款名为“CF三尸蛊”的CF盗号木马四处蔓延。这是一款带驱动的MBR型木马,属于远控木马,隐藏性高、内部瓦解、持久性强。黑客通过CF游戏外挂捆绑此木马病毒进行盗号,CF游戏玩家需要提高警惕。
该木马会感染系统文件,破坏用户的安全软件,收集用户信息,修改用户浏览器的主页,连接黑客远程计算机使用户电脑完全被黑客掌控。此外,黑客在外挂中捆绑的木马具有较高的隐蔽性,并且能够破坏部分杀毒软件的云查杀功能,当用户出现账号被盗情况之后,启动杀毒软件云查杀扫描,部分杀毒软件会出现连接失败等异常情况。
该木马是怎样隐藏?怎样内部瓦解玩家电脑的呢?让我们一起透视它的行径。
透视1:三重保险——进入玩家电脑
为了确保木马成功进入玩家电脑,黑客使用了三重保险来保证木马自启动成功:修改用户系统的MBR即用户硬盘的主引导区记录,确保优先注册系统启动;感染beep.sys系统文件
图1
创建木马驱动服务:释放cp.exe(功能以mima1用户运行程序)和拷贝自己到C:\Temp目录,创建mima1(Administrators权限)的用户。利用cp.exe Administrators权限断开用户网络和安装木马的驱动程序。
图2
通过 IpConfig /Release 命令断网避免安全软件的云查,断网后安全木马驱动模块。
透视二:注入木马主体——散布“害虫”内部瓦解
通过驱动程序来监视系统中部分进程的创建过程,并把safemon.dll(病毒释放的主模块)注入到所创建的进程中。以达到从内核全速瓦解玩家电脑的目的。过程如下:
① 释放C:\\Windows\\System32\\safemon.dll(病毒主体文件).
② 注册系统创建进程通知函数 PsSetCreateProcessNotifyRoutine,过滤部分进程的创建行为,对①中释放的safemon.dll进行注入。
透视三:屏蔽安全软件云查杀——幽禁用户安全部队
该木马一手在玩家电脑内核翻云覆雨,一手又想在电脑网络只手遮天。它屏蔽了一些安全软件的云查杀IP地址,使得安全软件部分功能失效,无法进行云查杀或更新。
透视四:禁止用户浏览安全厂商网址——切断救援
除了软化安全软件对自身的威胁,木马还防止用户自己去查询和求救。其主体safemon.dll 会修改用户浏览器主页,过滤部分安全软件厂商的网址,来禁止用户查询相关信息。让用户仿佛在一座孤岛上,绝望沦为“鱼肉”。
透视五:完美驱动级隐藏——立足长远包藏祸心
为了持久地破坏用户电脑,成功远程控制,该木马还费尽心思,改头换面,释放并安装NtHook.sys驱动程序,主要是HOOK内核中文件与注册表操作函数以达到隐藏自己的目的。恣意来日方长的远程连接木马作者计算机,使用户计算机成为“肉机”。
综上五种透视,CF外挂所捆绑的木马可不亚于CF激战本身。QQ电脑管家安全中心提示广大游戏玩家,慎用外挂,安全游戏。目前电脑管家已经成功拦截该木马,为你的激战保驾护航。