您的位置:首页>>互联网

穿越火线外挂实为病毒“变形金刚” 16万PC被感染

发布时间:2011-09-19 11:55:40  来源:互联网    背景:

  “一直都很喜欢枪战网游穿越火线(玩家习惯缩写为CF),看论坛上有人说CFm4辅助插件可穿墙钻地,就下载了用。结果没看到辅助效果,电脑被强制安装了一些软件,帐号还被盗了。”游戏玩家大奔这样描述自己的经历。

  金山毒霸安全专家指出,游戏玩家在提供CFm4辅助插件的网站下载的插件,实为一款技术型病毒。这种技术型病毒用多种复杂的变形手段成功逃过众多杀毒软件的查杀,模拟鼠标点击安装多款互联网软件,金山毒霸将病毒形象的命名为“变形金刚”。

 图1 伪装成CFm4外挂“变形金山”病毒

  据金山毒霸云安全中心的感染统计数据,“变形金刚”病毒已经感染超过16万台PC。检索百度指数,发现CFm4的指数上升非常明显,据此可推算受害玩家众多。

 图2 CFm4的搜索指数增长迅速,随之伴随的是病毒感染量攀升。

  9月1日,两高司法解释强化了对病毒集团的打击力度,病毒集团的行为也随之发生变化。这个“变形金刚”病毒的目的就是推广互联网软件,为某些商业网站刷流量来骗取推广收入,盗号反而不是病毒的主要功能。

  “变形金刚”病毒在技术上有很多亮点,这些技术特点使“变形金刚”病毒的生存周期大大延长。在感染16万台PC之后,仍有多个杀毒软件无法查杀。这些亮点包括:

  1.URL变形:用以推广病毒的下载链接快速变形,使杀毒软件拦截有害下载地址的方法迅速失效。

  2.文件MD5变形:下载的病毒文件快速更新,使得依赖MD5识别的杀毒软件迅速无效。

  3.下载一段时间后,所有恶意行为关闭:就象常见的软件过期,令杀毒软件难以找到病毒源头。

  4.利用暴风影音正常exe加载病毒DLL:病毒的执行模块(.dll文件)由带数字签名的暴风程序来间接启动,用以绕过杀毒软件的主动防御。

  5.模拟鼠标点击静默安装好压、酷盘、lavagame (捆绑后台安装):病毒的这种行为更象是用户人为操作,使杀毒软件的主动防御被成功绕过,病毒推广互联网软件以骗取软件推广费,这是病毒集团获利的重要途径。

 图3 病毒模拟鼠标点击来安装推广软件,以骗过杀毒软件的主动防御

  6.后台开启IE,刷流量:这是病毒的目的之一,刷流量可以骗钱。

  7.使用修改后的fastfat.sys来加载病毒驱动程序(fastfat.sys正常情况下是Windows系统文件),病毒用这个驱动模块来实现自身保护,以提高被杀毒软件清除的难度。

  8.关机回写:这是病毒驱动程序的特别之处,当用户关闭电脑时,病毒的驱动程序会重新向硬盘写入程序,以保证下次开机时,病毒程序仍能自动运行。这种方法曾经在3721这样的流氓软件中广泛使用。

  9.“变形金刚”病毒母体和一些盗号木马捆绑安装,以盗窃穿越火线(或其他网游)帐号密码。

  金山毒霸安全专家指出,这种技术型病毒,金山毒霸2012内置的K+防御可以完美拦截。一些游戏外挂使用者不顾安全软件的安全警告执意运行“外挂”程序,结果令电脑沦陷。在电脑上“被安装”好压、酷盘、lavagame的玩家可下载金山顽固木马专杀来查杀病毒。

 图4 金山毒霸K+系统防御可拦截“变形金刚”病毒

  名词:

  穿越火线:腾讯运营的一款韩国联网枪战游戏,玩家一般简称为CF,在中国拥有大量粉丝,高峰时同时在线量达300万人。火热的CF网游吸引了大量开发制作外挂或辅助工具的工作室,其中混入了大量以盗号为目的的病毒,一些专门分发外挂的网站还会突然将外挂替换为病毒。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:互联网

本文评论
友情提示:评论功能暂时关闭,请扫描上方二维码进群交流!
搭建中外青年友谊桥梁!Soul青年热情帮助外国友人
随着中国经济发展和社会开放程度越来越高,来国内工作和交流的外国友人也越来越多。在感叹中国发展...
日期:10-15
女神张俪淘宝直播为天猫精灵打call,明星的理想生活你也能轻松get
“天猫精灵,最近有什么歌好听? ”“养什么宠物,养天猫精灵就行了。” 10月14日...
日期:10-15
天猫精灵进军时尚圈了!QUEEN智能美妆镜惊艳上海时装周
“天猫精灵,我要化妆。”“天猫精灵,今天紫外线强度如何?”“天猫精灵...
日期:10-15
收到“果农”短信称水果滞销,腾讯手机管家提醒注意网购水果骗局
“您好,我是大山里的果农,非常感谢您之前参加我们的电商扶贫项目,今年山里的果子又熟了,销售困...
日期:10-14
中国演出行业协会:不存在网络主播“持证上岗”情况
10月14日下午消息,近期网络上出现了多条关于“网络主播持证上岗”的信息,针对此事,中国演...
日期:10-14
油管AI网红Siraj承认抄袭再上热搜:网课骗钱,人设崩塌
  Siraj在AI圈有多火呢?
  仅仅在Youtube上,他就有仅70万订阅者,包括DeepMind创始人Demis Ha...
日期:10-14
美研究中心10年前预测2020年生活方式:基本都实现了
北京时间10月14日上午消息,美国皮尤研究中心曾在2008年预测2020年的生活方式,主要包括:
日期:10-14
“如程”酒店数量突破200家 ,上线4个月帮会员省下1个亿
10月12日,会员制特色度假酒店预订平台“如程”再次上线新酒店,令平台合作酒店总数突破2...
日期:10-14
电费是5G建站的“拦路虎”
(原标题:5G建站“拦路虎”:电费是运营商年租金10多倍)
日期:10-14
积极响应“健康中国行” 网易春风发起“百万公益捐赠”活动
日前,国务院印发了有关“健康中国行动”的三分文件,明确指出了健康中国行动的战略方向...
日期:10-12
人民日报数字传播联合新媒体大号卡娃微卡掀起爱国热潮
“我和我的祖国,一刻也不能分割......”黄晓明、李易峰、李现的歌声,杨幂的大拇指速写...
日期:10-12
2019极光开发者大会|登封造“极”,等你来战!
听说极光要在开发者大会上“搞事情”,不仅能免费参加比赛还有机会赢取10万元现金大奖?
日期:10-12
2019香港秋季国际电子展,linxee领视与您合作共赢,共建美好数字生活
2019年10月11日-14日香港秋季环球电子展(Global Sources Consumer Electronics)于香港亚洲国际博览...
日期:10-12
5G预约用户超千万 vivo已成领跑5G终端销售主力军
尽管运营商的5G套餐尚未正式发布,但随着三大运营商在9月底全面开启5G套餐预约,截止到10月11日,全...
日期:10-12
充电宝可以带上飞机吗?抗摔耐压的SuperMini上机更安全
  自2018年1月份开始,民航就逐渐放宽了对乘客电子设备的限制。一开始只能单纯携带,现在只要开启飞行...
日期:10-12
全球首部AI交响变奏曲在深奏响 中国平安献礼祖国70周年
10月11日,由中国平安人工智能研究院创作的全球首部AI交响变奏曲《我和我的祖国》,在深圳音乐厅由深...
日期:10-12
闪耀深圳物博会:构筑城市货运生态圈 快狗打车展示行业“教父”风采
2019年10月10日——10月12日,被誉为“全球物流领域标杆性品牌盛会”的2019中国...
日期:10-12
第十三届物流透明管理峰会召开,“数字化+”加速物流变革
工业互联网的风潮渐趋猛烈,数字化转型成为各行各业公认的变革方向。在即将到来的数字化时代,颇具...
日期:10-12
首次亮相物博会,华为云助力智慧新物流落地
2019年10月10日-12日,华为云亮相2019中国(深圳)国际物流与供应链博览会(以下简称“物博会&rdq...
日期:10-11
主动安全·智慧驱动——2019合肥网络安全大会成功召开
      今日,以“主动安全·智慧驱动”...
日期:10-11
  专栏介绍
吕良 的专栏
吕良发表的文章
积分:
自我介绍 :