導讀：近日，國内知名安全團隊發現一款名為愛玩寶傳奇盒子的傳奇私服登錄器正在向用戶電腦中植入病毒。黑客可通過C&C服務器控制受害終端下載、執行任意惡意代碼，大家謹慎下載。

傳奇私服，是私服的一小類，由熱血傳奇發展而來，雖然是違規，但還是阻擋不住情懷玩家的熱情，因為它的優點卻是太多，首先是完全免費可以進入遊戲，不需要充值點卡及其它費用，而且升級速度相比熱血傳奇容易很多，裝備也更好打。

所以從第一個傳奇私服到現在，已經上十載，卻經久不衰，仍然有不少的玩家比較鐘意傳奇私服，但是往往就忽視了它的軟件安全。

近日，火絨安全實驗室就發現一款名為愛玩寶傳奇盒子的傳奇私服登錄器正在向用戶電腦中植入病毒。黑客可通過C&C服務器控制受害終端下載、執行任意惡意代碼，惡意代碼功能包括：阻止安全軟件驅動正常加載，定期彈出廣告窗口功能。此外，我們通過對相關威脅數據的追蹤發現，該惡意模塊還在持續更新，不排除黑客下發更具威脅的惡意代碼到用戶本地執行的可能性。

C&C服務器是由攻擊者的計算機将命令發送到受惡意軟件入侵的系統，并從目标網絡接收被盜的數據。值得一提，現在已經發現許多c&c服務器為IDC服務器以及使用基于雲的服務，例如網絡郵件和文件共享服務，因為C＆C服務器可以與正常流量融合在一起并避免被檢測到。

愛玩寶傳奇盒子安裝程序名為csrss.exe(與系統文件同名)，在用戶完成安裝後會釋放兩個惡意模塊Advertisement.exe和KQ6k707bwC0I.exe。其中Advertisement.exe啟動後會在後台靜默運行，定期彈出廣告。通過分析代碼，發現程序帶有日志功能，默認處于關閉狀态。日志功能開啟後，可以看到該惡意模塊與C&C服務器的通訊過程，但在我們分析過程中服務器未返回有效的廣告信息。日志信息及相關代碼邏輯信息，如下圖所示：

代碼邏輯

日志信息截圖：

日志信息截圖

KQ6k707bwC0I.exe會釋放Fsfilter.sys惡意驅動模塊，該模塊會與C&C服務器通信下載、執行任意惡意模塊。 驅動數字簽名，如下圖所示：

驅動數字簽名

該模塊從C&C服務器上獲取更新模塊（update.exe），相關日志信息，如下圖所示：

更新模塊

更新模塊啟動後會釋放出相關惡意驅動模塊，相關行為信息，如下圖所示：

釋放惡意驅動模塊

該惡意驅動模塊通過注冊系統回調函數，阻礙專殺工具驅動正常加載，火絨劍攔截到相關行為信息，如下圖所示：

火絨劍攔截到相關行為信息

該軟件卸載流程非常繁瑣，障礙用戶正常卸載，首先需要填寫至少20字的卸載理由并且必須填寫QQ号碼等聯系方式，卸載完成之後發現惡意驅動會繼續常駐用戶系統執行惡意行為。如下圖所示：

卸載過程複雜

卸載複雜

顯示卸載完成後，惡意驅動會繼續常駐用戶系統執行惡意行為。如下圖所示：

卸載後驅動模塊加載情況

根據惡意驅動的數字簽名溯源到相關公司的信息，如下圖所示：

玩私服雖然優點很多，但是風險極大，很容易人财兩空追悔莫及。為什麼這麼說呢？

首先私服制作者可以為所欲為。在私服遊戲當中，不法分子們完全憑自己的喜好操控一切，一旦心血來潮，立即會對數據進行随意修改，導緻其中的玩家得不到任何公平及遊戲性的保障，遊戲過程自然也沒有樂趣可言。 其次是私服随時可能會關服。私服本就是一件違法的行為，當受到打擊和懲罰時，永久關服就成為了必然的結果，玩家的投入将會血本無歸，看着自己的時間和金錢打了水漂，屆時再後悔就為時已晚了！ 最後是盜号風險大，極容易中木馬病毒。很多不法分子會打着私服的旗号，實則為了傳播盜号病毒，當大家在下載這些所謂“私服程序”的同時，電腦很可能被病毒感染，從而導緻被盜号、個人信息被盜用等嚴重的風險！

感謝閱讀全文，喜歡網絡安全的小夥伴歡迎關注我的賬号，點贊轉發，我們下期再見！

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!