传奇私服暗藏病毒劫持用户流量？传奇私服网站被挟持

利用服务启动白名单文件QQExternal.exe，再以“白加黑“的方式加载BugRpt.dll来执行恶意代码，相关代码，如下图所示：

BugRpt.dll是以“白加黑“的形式被加载运行，当BugRpt.dll同目录下的QQExternal.exe（白文件）被运行。

恶意模块InstallCore.dll还会执行一系列操作来保证后续的恶意模块能正确被执行，如：添加证书、设置浏览器代理、持久化操作，相关代码，如下图所示：

火绒安全工程师分析称，该病毒可通过C&C服务器下发任意恶意模块，不排除后续下发其他恶意模块的可能。被下发的恶意模块将长期驻留在中毒用户电脑中，并开机自启动，利用“白加黑”调用恶意代码模块以及注入系统进程的方式来执行恶意行为。

广大游戏玩家需要注意，携带木马、后门及其他病毒的情况时有发生，玩家下载安装后，可能面临网页被劫持、个人隐私数据泄露等不同危害，严重侵害用户隐私和资产安全。因此，火绒工程师提醒广大玩家提高警惕。

BugRpt.dll恶意模块的签名信息直接复制QQExternal.exe签名信息来进行伪装，如下图所示：

当进入游戏后，会释放并执行恶意模块QQExternals.exe，火绒剑监控到的行为图，如下图所示：

近日，火绒安全工程师拦截到一款病毒正通过某传奇私服登录器进行传播。 该病毒可通过C&C服务器下发任意恶意模块，还会将病毒服务器设置为代理服务器，通过篡改用户流量来推广病毒作者自家的传奇私服。 当用户访问传奇相关的网页时，会被劫持到病毒作者自家传奇私服，如下图所示：

恶意模块QQExternals.exe会根据配置文件来加载远程恶意模块InstallCore.dll，相关代码，如下图所示：

本文TAG：雷霆三合一传奇私服超变