「四川 成都 火绒 企业版」又一款传奇私服利用Rootkit病毒进行推广

近日，火绒收到多位用户反馈，电脑频繁报毒、网页被劫持等问题，经排查发现是传奇私服捆绑Rootkit病毒导致。该病毒通过篡改用户流量来推广自己的传奇私服，不仅使用多种对抗手段，还伪装成系统驱动等来隐藏自身，对用户构成较大的威胁。

用户登录传奇私服客户端后，该病毒会通过黑加白文件释放 Loader 驱动，再通过 Loader 驱动来下载、加载劫持驱动，以拦截杀毒软件驱动和专杀工具的进程。随后，其会根据C&C服务器配置信息来修改受害者电脑代理、DNS等系统设置，使用户访问传奇相关的网页时，跳转到指定传奇私服。该病毒执行流程，如下图所示：

目前，火绒安全产品可对上述病毒进行拦截查杀。已感染该病毒的用户，可先使用火绒专杀工具进行扫描，再使用火绒【系统修复】和【全盘查杀】功能，重启电脑后即可彻底清除该病毒。

一、样本分析

当传奇私服启动一段时间后，会通过释放出黑加白文件的方式来绕过杀毒软件查杀，火绒剑监控到的行为，如下图所示：

BugRpt.DLL启动后，会创建一个线程循环尝试寻找360卫士关闭窗口的位置，通过模拟鼠标点击来关闭360卫士，相关代码，如下图所示：

之后BugRpt.DLL释放Loader驱动，通过Loader驱动来下载、加载Rootkit病毒，相关代码，如下图所示：

在Loader驱动中，会从C&C服务器下载、加载Rootkit病毒，相关代码，如下图所示：

该Rootkit病毒会根据C&C服务器配置信息来修改受害者电脑代理、DNS等系统设置，当用户访问传奇相关的网页时，会被劫持到病毒作者指定传奇私服，并且该病毒使用VMProtect保护壳进行加密，以及多种内核对抗手段来拦截杀毒软件进程和驱动。该Rootkit病毒启动后，会添加模块加载回调函数和进程加载回调函数来拦截杀毒软件的驱动和进程。 相关代码，如下图所示：

在模块加载回调函数中会计算驱动文件的签名以及MD5，如果为相关杀毒软件的驱动，就会阻止杀毒软件驱动的加载，相关代码，如下图所示：

会被拦截的驱动签名列表，其中一些看起来像是人名，如下图所示：

在进程加载回调函数中通过匹配进程名以及MD5来终止专杀工具进程，相关代码，如下图所示：

之后该Rootkit病毒会创建多个线程来实现各种恶意功能，有很多线程都是空的，猜测该病毒更多恶意功能还在开发当中，相关代码，如下图所示：

在线程一中来请求服务器配置信息，在其他线程中会根据配置信息来修改受害者电脑的代理以及DNS设置。C&C服务器的地址是由服务器的地址为，相关代码，如下图所示：

获取到的配置信息是加密的，如下图所示：

服务器返回的配置信息是先由RC4进行加密后，再对加密的结果用XOR 9F加密，之后再用进行编码，相关解密代码，如下图所示：

解密后的配置信息，如下图所示：

在线程二中会实现各种恶意功能如：将自身伪装成系统驱动、修改受害者代理和DNS设置、以及利用注册表回调来保护注册表位置防止代理设置被修改回去。将自身伪装成系统驱动，相关代码，如下图所示：

修改系统代理来劫持用户访问的传奇网站，相关代码，如下图所示：

PAC劫持脚本会将传奇私服相关的网页劫持到黑客指定的网页，PAC脚本代码，如下图所示：

修改用户DNS相关代码，如下图所示：

再创建注册表回调函数来保护这些位置不被修改回去，回调函数中会先排除自身线程，如果发现指定注册表位置被修改就返回错误代码：0xC0000022，相关代码，如下图所示：

在线程6中会循环检测各种回调函数是否存在，如果被摘除就重新添加，相关代码，如下图所示：

该病毒还会创建关机回调，在关机时，会判断驱动启动项是否存在，如果不存在，就重新添加一个驱动启动项，相关代码，如下图所示：

二、附录

火绒安全，火绒，火绒安全软件，火绒官网，火绒杀毒软件怎么样，

火绒企业版怎么收费，火绒企业管理员密码，火绒企业版监控员工电脑，

火绒企业版收费标准，火绒企业版价格，火绒企业版与个人版有何不同，

火绒企业版卸载要密码，火绒，火绒安全、EDR V1.0， ，火绒安全防护

服务区域：

云南火绒，昆明火绒 ，贵州火绒，四川火绒，重庆火绒 ，西藏火绒，拉萨火绒，

产品：火绒安全卫士（专业版）软件 ，火绒终端安全管理系统v2.0，火绒安全终端安全管理系统2.0版，火绒终端安全管理系统V1.0,火绒终端安全管理系统，火绒 windows PC 版（10用户起订），火绒安全 终端管理系统Windows V2.0,火绒终端企业版Linux版，火绒终端企业版macOS版。火绒企业版收费标准，火绒企业版， 火绒企业版监控员工电脑，火绒企业版和个人版区别， 火绒企业版价格，火绒企业版多少钱，火绒企业版多少钱一年，火绒信息安全软件 linux PC V2.0终端安全管理系统网络版，huorong endpoint security management system2.0

火绒终端防病毒系统，火绒安全 火绒终端安全管理系统V2.0 Windows杀毒软件 ，火绒终端安全管理系统（ Linux版），火绒安全终端安全管理系统V2.0Linux版，信息安全软件 火绒 windows PC 三年续费版(10用户起订），火绒安全 终端安全管理系统V2.0Linux版 安全软件，火绒专杀工具（企业版），火绒安全 火绒终端安全管理系统2.0（旗舰版），火绒企业网络版杀毒软件升级，火绒企业网络版杀毒软件升级,火绒杀毒企业版多少钱

功能：实现终端安全系统的集中管理、策略配置、报表查看等功能。50个Windows客户端全功能版授权许可,

病毒防御：病毒查杀，防病毒终端软件:网络版杀毒软件，服务器杀毒软件，Linux服务器杀毒软件，防病毒软件EDR、杀毒软件（反病毒引擎、多层次主动防御系统、病毒防御、系统防御、网络防御、设备控制等，网络版杀毒软件 1套，终端安全控制系统，EDR终端安全管理，外网电脑杀毒软件，勒索病毒诱捕，文件实时监控，恶意行为监控，U盘保护，下载保护，邮件监控，web扫描。反病毒引擎供应商。定时全网扫描，

漏洞管理：（漏洞修复）补丁分发，补丁修复，漏洞攻击拦截、攻击溯源，支持漏洞集中修复，补丁文件管理，按终端修复，下发漏洞修复。横向渗透防护，

移动存储管理功能：安全U盘，U盘管控，U盘注册、U盘信任，USB无线网卡、USB有限网卡、打印机、光驱、蓝牙设备、便携设备等

终端管控：