又一款游戏登录器正在传播病毒！谨慎下载

导读：近日，国内知名安全团队发现一款名为爱玩宝传奇盒子的传奇私服登录器正在向(🚍)用户电脑中植入病毒。黑客可通过C&C服务器控制受(🍇)害终端下载、(🔘)执行任意恶意代码，大家谨慎下载。

传奇私服，是私服的(🏚)一小类，由热血传奇(😿)发展而来，虽然是违规，但还(🙅)是阻挡不住情怀玩家的热情，因为它的优点却是太多，首先是完全免费可以进入游戏，不需要充(🧢)值点卡及其它费用，而且升级速度相比热血传(🏴)奇容易很多(🌪)，装备也更好打。

所以从第一个传奇私服到现在，已经上十载，却经久(🕥)不衰，仍然有不少的玩家比较钟意传奇私服，但是(➗)往往就忽视了它的软件安全。

近日，火绒安全(👆)实验室就发现一款名为爱玩宝传(🧠)奇盒子的传奇私服登录器正在向用户电(🐰)脑中植入病(🔄)毒。黑客可通过(🚩)C&C服务器控制受害终端下载、执行任(🐁)意恶(📢)意代码(🍣)，恶意代码功能包括：(🐜)阻止安全软件驱动正常加载，定期弹出广告窗口功(🐛)能。此外，我们通过对相关(🔏)威胁数据的追(🚊)踪发现，该恶意(🗂)模块还在持续更新，不排除黑客下发更具威胁的恶意代码到用户本地执行的可能性。

C&C服务器是由攻击者的计算机将命令发送到受恶意软件入侵的系(🔪)统，并从目标网络接收被盗的数据。值得一提，现在已经(🚪)发现许多c&c服务器为IDC服务器以及使用基于云的服务，例如网络邮件和文件共享服务，因为C＆C服务器可以与正常流量融合在一起并避免被检测到。

爱玩宝传(🦃)奇盒子安装程序名为csrss.exe(与系统文件同名)，在用户完成安装后会释放两个恶意模块Advertisement.exe和KQ6k707bwC0I.exe。其中Advertisement.exe启动后会在后台静默运行，定期弹出广告。通过分析代码，发现程序带有日志功能，默认处于关闭状态。日志功能开启后(♌)，可(🤕)以看到该恶意模块与C&C服务器的通讯过程，但在我们分析(♊)过程中服务器未返回有效的广告信息。日志信息及相关代码逻辑信息，如下图所示：

代码逻(🛑)辑

日志信息截图：

日志信(🐧)息截图

KQ6k707bwC0I.exe会释放Fsfilter.sys恶意驱动模块，该模块会(📘)与C&C服务器通信下载、执行任意恶意模块。 驱动数字签名，如下(🔩)图所示：

驱动数字签名(🥀)

该模块从C&C服务器上获取更新模块（update.exe），相关日志信息，如下图所示：

更新模块

更新模块启动后会释放出相关恶意驱动模(✈)块，相关行(🙈)为信息，如下图所示：

释放恶意驱动模块

该恶意驱动模块通过注册系统回调函数，阻碍专杀工具驱动正常加载，火绒剑拦截到相关行为信息，如下图所示：

火绒剑拦截到相关行为信息

该软件卸载(🦒)流程非常繁琐，障碍用户正常卸载，首先需要填写至少20字的(🌭)卸载理由并(🧚)且必须填写QQ号码等联(🥍)系方式，卸载完成之后发现恶意(💅)驱动会继续常驻用户系统执行恶(🏳)意行为。如下图所示：

卸载过程复杂

卸载复杂

显示卸载完成后，恶意驱动会继续常驻用户系统执行恶意行为。如下(🌗)图所示：

卸载后驱(🌺)动模(🔊)块加载情况

根据恶意驱动的数字签名溯源到相关公司的信息(🔓)，如下图所示：(😽)

玩私服虽然优点(⌚)很多，但是风险极大，很容易人财两空追悔莫及。为什么这么说呢？

首先私服制作者可以为所欲为。在私服游戏当中(🦀)，不法分子们完全凭自己的喜好操控一切，一旦心血(🥪)来潮，立即(🏸)会对数据进行随意修改，导致其中的玩家得不到任何公平及游戏性的保障，游戏过程自然也没有(🕹)乐(🔰)趣可言。
其次是私服随时可能会关服。私服本就是一件违法的行为，当受到打击和惩罚时，永久关服就成为了(🐊)必然的结(🖍)果，玩家的投入将会血本无归，看着自己的时间和(🚰)金钱打了水漂，届时再后悔就为时已晚了！
最后是盗号风险大，极(💹)容易中木马病毒。很多不法分子会打着私服的旗号，实则为了传播盗号病毒，当大家在下载这些所谓“私服程序”的同时，电脑很可能被病毒(🤹)感染，从而导致被盗号、个人信息被盗用等严重的风(🌹)险！

感谢阅读全文，喜欢(🍯)网络(♉)安全的小伙伴(👉)欢迎关注我的账号，点赞转发，我们下期再见！