您的位置:首页>>互联网

穿越火线外挂实为病毒“变形金刚” 16万PC被感染

发布时间:2011-09-19 11:55:40  来源:互联网    背景:

  “一直都很喜欢枪战网游穿越火线(玩家习惯缩写为CF),看论坛上有人说CFm4辅助插件可穿墙钻地,就下载了用。结果没看到辅助效果,电脑被强制安装了一些软件,帐号还被盗了。”游戏玩家大奔这样描述自己的经历。

  金山毒霸安全专家指出,游戏玩家在提供CFm4辅助插件的网站下载的插件,实为一款技术型病毒。这种技术型病毒用多种复杂的变形手段成功逃过众多杀毒软件的查杀,模拟鼠标点击安装多款互联网软件,金山毒霸将病毒形象的命名为“变形金刚”。

 图1 伪装成CFm4外挂“变形金山”病毒

  据金山毒霸云安全中心的感染统计数据,“变形金刚”病毒已经感染超过16万台PC。检索百度指数,发现CFm4的指数上升非常明显,据此可推算受害玩家众多。

 图2 CFm4的搜索指数增长迅速,随之伴随的是病毒感染量攀升。

  9月1日,两高司法解释强化了对病毒集团的打击力度,病毒集团的行为也随之发生变化。这个“变形金刚”病毒的目的就是推广互联网软件,为某些商业网站刷流量来骗取推广收入,盗号反而不是病毒的主要功能。

  “变形金刚”病毒在技术上有很多亮点,这些技术特点使“变形金刚”病毒的生存周期大大延长。在感染16万台PC之后,仍有多个杀毒软件无法查杀。这些亮点包括:

  1.URL变形:用以推广病毒的下载链接快速变形,使杀毒软件拦截有害下载地址的方法迅速失效。

  2.文件MD5变形:下载的病毒文件快速更新,使得依赖MD5识别的杀毒软件迅速无效。

  3.下载一段时间后,所有恶意行为关闭:就象常见的软件过期,令杀毒软件难以找到病毒源头。

  4.利用暴风影音正常exe加载病毒DLL:病毒的执行模块(.dll文件)由带数字签名的暴风程序来间接启动,用以绕过杀毒软件的主动防御。

  5.模拟鼠标点击静默安装好压、酷盘、lavagame (捆绑后台安装):病毒的这种行为更象是用户人为操作,使杀毒软件的主动防御被成功绕过,病毒推广互联网软件以骗取软件推广费,这是病毒集团获利的重要途径。

 图3 病毒模拟鼠标点击来安装推广软件,以骗过杀毒软件的主动防御

  6.后台开启IE,刷流量:这是病毒的目的之一,刷流量可以骗钱。

  7.使用修改后的fastfat.sys来加载病毒驱动程序(fastfat.sys正常情况下是Windows系统文件),病毒用这个驱动模块来实现自身保护,以提高被杀毒软件清除的难度。

  8.关机回写:这是病毒驱动程序的特别之处,当用户关闭电脑时,病毒的驱动程序会重新向硬盘写入程序,以保证下次开机时,病毒程序仍能自动运行。这种方法曾经在3721这样的流氓软件中广泛使用。

  9.“变形金刚”病毒母体和一些盗号木马捆绑安装,以盗窃穿越火线(或其他网游)帐号密码。

  金山毒霸安全专家指出,这种技术型病毒,金山毒霸2012内置的K+防御可以完美拦截。一些游戏外挂使用者不顾安全软件的安全警告执意运行“外挂”程序,结果令电脑沦陷。在电脑上“被安装”好压、酷盘、lavagame的玩家可下载金山顽固木马专杀来查杀病毒。

 图4 金山毒霸K+系统防御可拦截“变形金刚”病毒

  名词:

  穿越火线:腾讯运营的一款韩国联网枪战游戏,玩家一般简称为CF,在中国拥有大量粉丝,高峰时同时在线量达300万人。火热的CF网游吸引了大量开发制作外挂或辅助工具的工作室,其中混入了大量以盗号为目的的病毒,一些专门分发外挂的网站还会突然将外挂替换为病毒。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:互联网

本文评论
友情提示:评论功能暂时关闭,请扫描上方二维码进群交流!
再登《新闻联播》  讯飞智能办公本创新功能引关注
8月14日,央视《新闻联播》报道了国务院新闻办公室举办的“庆祝建国70周年”系列新闻发布...
日期:08-20
美媒:华为帮非洲国家政府搞监控 外交部回应情况不实
  (原标题:美媒说华为帮非洲国家政府搞监控 外交部:报道水准令人堪忧)
日期:08-20
弹个车们走进中低线城市,缔造零售新生态
最近两年,“下沉”成为了互联网行业的关键词,不断被提起。拼多多、趣头条、快手等产品...
日期:08-20
联想搞大事情了?!828超级购物节产品钜惠惊喜多多
“你的一生中都会遇到谁?父母、伴侣、老师、朋友?你想对其中的一些人说什么呢?”8月20日...
日期:08-20
民宿火热带动灵活就业 共享经济跑出成都样本
随着暑期档持续升温,自由行成为主流出游方式。来自特色住宿平台小猪的数据显示,成都暑期仅7月份的...
日期:08-20
老撕鸡:游戏主播还是生活vlogger?我都要
什么样的创作人才能在西瓜视频走红?拥有百万粉丝,单条视频下的评论超过千条,靠拍视频月收入过万,...
日期:08-20
5G到来 4G被运营商降速?
  (原标题:传运营商为推广5G,已悄悄对4G降速? )
日期:08-20
共享雨伞会是下一个共享单车?还是未知数
  (原标题:从低调潜伏到百亿级市场,共享雨伞还有没有戏?)
日期:08-20
十年了 是时候说再见!我们为什么要从Windows 7升级到Windows 10?
2009年,Windows 7呱呱坠地,至今已经十年。
  因易用、简单、使用高效,Windows 7成为Windo...
日期:08-20
从惊喜到期待,建行信用卡再临ChinaJoy
ChinaJoy是每年一度全球瞩目的数码互动娱乐盛会,在这个盛会上最主要的受众人群就是当下的年轻人,...
日期:08-20
华为Mate 30系列发布会再选慕尼黑 难道这地儿不一般?
  (原标题:华为Mate 30系列发布会为何再次选择慕尼黑 )
日期:08-20
百度发布Q2财报:智能小程序月活用户三个月增长49%
北京时间8月20日,百度发布了2019年度Q2财报。本季度百度营收263亿元人民币,净利润24亿元人民币,...
日期:08-20
6千万3D模型、7万张原画……《全职高手》大电影是这样“炼成”的
以超人气小说为起点,这几年《全职高手》有了改编漫画、热播动画、实体书、有声书、手游、周边衍生...
日期:08-19
新内容来了!360 AI音箱MAX增加《明日之子》点播功能
每到暑期档,全国乐迷的“曲荒”状况就会得到很好的缓解,随着一个个音乐类节目的陆续上...
日期:08-19
中国联通与格力电器联合打造5G智慧工厂,董明珠:5G应用恰逢其时
8月19日下午消息,中国联通与格力电器近日签署战略合作协议。中国联通董事长王晓初,格力电器董事长...
日期:08-19
5G全速进化 iQOO Pro新机发布会倒计时三天
今天,iQOO官方微博发布预热视频,为三天后即将到来的iQOO Pro新品发布会加油打气:“5G迅驰疾...
日期:08-19
百度2020校招全面开启 四大类上千岗位广纳人才
近日,百度2020校园招聘(以下简称“2020校招”)全面开启。百度2020校招面向2019年9月~202...
日期:08-19
击败苹果、AI2等多支强队 百度拿下MRQA 2019阅读理解国际评测冠军
在国际自然语言处理领域颇具影响力的百度,再传捷报,再度夺冠。2019年8月12日,MRQA 2019阅读理解...
日期:08-19
中国移动:5G标准并非一蹴而就,Rel-17已启动技术布局
C114讯8月19日消息 在日前召开的“5G网络创新研讨会”上,中国移动研究院首席专家刘光毅...
日期:08-19
  专栏介绍
吕良 的专栏
吕良发表的文章
积分:
自我介绍 :