中文版 Global
首页 > 安全资讯 > 正文

私服网游不要乱玩,当心“双枪”爆头电脑秒变“僵尸”

  • 2020-05-27 18:27:56

“双枪”木马,是迄今为止发现的最复杂木马之一,其幕后制作团伙更是如杀不灭的“小强”,每每都能死灰复燃高调复出。近日,360安全大脑独家追踪到了“双枪”木马团伙最新动向。不过,与以往木马牟利方式不同,这一次“双枪”团伙鸟枪换炮,通过开放服务管理数十万僵尸网络非法获利。

感染规模超10万,直接触发360 安全大脑预警系统,足可见“双枪”团伙的猖狂程度。360安全大脑在对告警域名进行解析后发现,该团伙从19年下半年,就围绕两个关键IP,启用多个域名控制并下发恶意程序。“双枪”团伙手中掌握着异常丰富的网络资源,随时可能卷土重来。目前,360安全卫士已首家支持对该恶意程序的拦截,广大用户可及时下载安装360安全卫士进行拦截查杀。

开放服务惨遭双枪团伙利用,揭僵尸网络管理新趋势

2017年,360安全团队首家发现“双枪”木马,自此该木马幕后制作团伙就成了网络非法“淘金”的活跃分子,异常高调地利用锁浏览器首页、弹窗广告和推广安装其他恶意软件等各种手段吸金。在此次360安全大脑捕获的大规模活动中,双枪木马团伙更是将高调发挥到极致,竟开始利用起了网络“开放服务”,下发恶意程序监管僵尸网络。

 

(IOC关联分析)

普通人广泛使用的网络开放服务,到了“双枪”团伙手中,却成了放毒的“翘板”。360安全大脑监测到,“双枪”团伙同时利用了贴吧图片、云存储托管、网络统计等多种开放服务,分发、托管配置文件,统计管理已感染设备,为自己祸乱网络大开方便之门。

 

(恶意样本中发现的某云服务URL地址)

这里有必要强调的是,开放服务本身是中立的技术,惨遭“双枪”团伙利用,完全是不法分子的蓄意行为,但也预示着未来使用开放服务管理僵尸网络或将成为流行趋势。鉴于上述威胁,360安全大脑立即对该恶意软件传播范围进行度量监测,并在第一时间采取了有效的抵御措施。

双套路潜匿网络“反追踪”,感染数十万终被360安全大脑截杀

从360安全大脑监测数据来看,此次感染规模之所以达到数十万体量,关键就在于双枪团伙在终端上,采取了极复杂的对抗手段以及加密通信,躲开了反病毒软件的防护网。360安全大脑在 DNS 数据中发现恶意活动的线索,粗略推算木马感染量达数十万级,研判确认幕后黑手就是恶名远扬的“双枪”团伙。

360安全大脑在样本分析过程中发现,“双枪”团伙主要通过启动器内包含恶意代码与DLL 劫持两种感染方式,潜藏网游私服客户端全网扩散,这也就让广大网友爱好者成为了高危感染人群。

在启动器内包含恶意代码的感染方式中,含恶意代码的私服客户端启动器会先行下载并加载cs.dll恶意文件,并上报主机信息释放加载恶意驱动,随后劫持系统进程,下载后续恶意程序。

(启动器内包含恶意代码模式中涉及的各类私服入)

(点击下载链接跳到的私服主页)

在DLL 劫持感染方式中,依然是以私服客户端为载体,但在技术细节上存在较大差异。恶意photobase.dll 文件会先释放相应架构的恶意驱动程序,注册系统服务并启动,在这之后才会加载真正的photobase.dll文件。

(DLL 劫持手段中登录器下载页面)

(多款类似游戏私服客户端的组件 photobase.dll 被替换成同名恶意 DLL 文件)

蓄谋已久且拥有着异常丰富的作恶资源,也就怪不得“双枪”每每都能死灰复燃。不过广大用户不必担心,目前,360安全大脑已全面阻击相关恶意代码下载链接,而为避免更多用户遭遇此类威胁,360安全大脑给出如下安全建议:

1、及时前往weishi.360.cn,下载安装360安全卫士,强力查杀此类病毒木马;

2、对于安全软件提示风险的程序,切勿轻易添加信任或退出杀软运行;

3、发现电脑异常时,及时使用360安全卫士进行体检扫描,查杀病毒木马;

4、开启360安全卫士“网页安全防护”功能,辨别各类虚假诈骗网页,拦截钓鱼网站、危险链接,保障计算机信息安全。

5、使用360软件管家下载软件,360软件管家收录万款正版软件,经过360安全大脑白名单检测,下载、安装、升级,更安全。

360安全卫士

 


360安全卫士

热点排行

用户
反馈 返回
顶部