一、总述
近期，火绒安全团队截获一批绑缚在《地下城与勇士》游戏外挂上的主页绑架病毒。依据技能剖析追溯，咱们承认这些病毒的首要传达源是一个游戏外挂网站，从而发现，这个外挂站是一个巨大的“病毒窝点”，传达的电脑病毒品种之多、数量之大，令人惊奇。
整体说来，该网站隐藏三类病毒，一类是游戏用户疾恶如仇的盗号木马，二类是操控用户电脑，绑架主页的后门病毒，三类是强制绑缚装置软件的下载器病毒。该网站的用户会被随机感染数种病毒，电脑遭到耐久的多重损害和打扰。
这个游戏外挂网站是hxxp://www.dnf3996.com、hxxp://www.dnf9669.com、hxxp:// www.wg9669.com。
该站的运作流程如下：1、游戏外挂作者将自己开发的外挂程序放到该网站进行推广，并设定每个外挂的金额；2、署理商先付费取得署理资历，然后用各种方式（如QQ群等）推广、出售这些外挂程序，赚取署理费。
《地下城与勇士》是一款用户很多的经典网游，针对这款游戏的外挂数量巨大。电脑病毒制作者瞄准该游戏的海量外挂用户们，将各种电脑病毒和外挂程序绑缚在一起，进行再打包，然后经过这个外挂途径往外传达。依据“火绒要挟情报体系”计算，被这些病毒感染的用户，现已覆盖了全国大部分地区。
更为奇葩的是，除了盗取游戏账号、操控用户电脑锁首（将主页强行修改为“2345”导航站）之外，第三类下载器病毒绑缚装置的，竟然是老牌杀毒软件“瑞星”。依据测验，这款“瑞星”装入用户电脑之后，各种正常的安全模块都不敞开，唯一敞开自我维护和弹窗广告模块——也便是说，除了长时间驻留电脑打扰用户之外，没有任何功用。依据软件签名和下载地址能够承认，这款“专门弹窗版”瑞星杀毒软件，并非外部团伙的篡改和构陷，而是来自于瑞星官方。
二、病毒行为简述
病毒推广站页面如下图所示：

 
图 1 外挂推广网站
图中所示，如“DNF XX辅佐”便是归于不同的外挂作者的推广途径，该网站中称之为端口。不同的推广端口对应的价格不同，经过一段时间的验证咱们发现，外挂带毒首要会集在贱价外挂区域，其外挂中不定期会绑缚病毒程序。该推广站所触及的病毒共有三类，一类是下载器病毒，一类是经过缝隙传达的盗号木马，另一类是具有主页绑架功用的后门病毒。
2.1下载器病毒
咱们在该站“DNF封神辅佐”推广端口下载到了绑缚此类病毒的外挂。文件特点如下图所示：

 
图 2 文件特点
外挂运转后，界面如下图所示：

 
图 3 外挂界面
其首先会开释带有数字签名且文件名随机的ThunderShell程序。如下图所示：

图 4 文件特点
ThunderShell程序发动时，会加载名为LiveUDHelper.dll的病毒动态库，该动态库中包括歹意代码。其加载后会发动体系svchost进程对其进程注入，注入内容为LiveUDHelper.dll中的一个子PE文件。该PE文件中包括真实的下载器病毒代码，履行后会下载hxxp://dl.i1236.com/dl/wrqdown2/ravv16stdf10O4120001.exe。如下图所示：

 
图 5 歹意推广行为日志

 
图 6 进程树
经过文件特点咱们能够看出其所下载的文件是一个7Z自解压包，而且包括瑞星数字签名，如下图所示：

 
图 7 软件装置包

 
图 8 数字签名详细信息
更值得一提的是，该病毒与以往咱们见到的歹意推广病毒不同，其只推广瑞星杀毒软件，且其推广的该版别瑞星杀毒软件不具有任何杀毒功用，除了自保功用外，只会不定期弹出广告，甚至连软件主界面都无法正常发动。
软件广告弹窗，如下图所示：

 
图 9 广告弹窗
依据域名查询成果，下载该版别瑞星杀毒软件的域名（hxxp://dl. i1236.com）与瑞星官方论坛域名（hxxp://www.ikaka.com）的注册人信息共同。如下图所示：

[1] [2] [3] [4] [5]  黑客接单网