吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6821|回复: 122
上一主题 下一主题
收起左侧

[PC样本分析] 警惕诱导行为丨传统感染型病毒借ACG色情类游戏网站大规模传播

    [复制链接]
跳转到指定楼层
楼主
火绒安全实验室 发表于 2025-1-9 20:53 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2025-1-9 20:58 编辑

在当今信息高速流通、网络技术迅猛发展的时代,恶意软件的传播方式发生了翻天覆地的变化,它们不再仅仅依赖于攻击者主动发起的攻击,还可通过运用社交工程来进行传播,使发布者毫无察觉地成为病毒传播源头,感染者也常在不知情的情况下继续执行感染文件或传播恶意链接,从而助长病毒的蔓延。本文将对这种隐性传播现象及其感染与传播模式做出分析,期望有助于您更好地了解潜在风险。

在恶意软件传播的过程中,盗版游戏、汉化补丁、游戏外挂辅助等工具和软件往往沦为病毒的“帮凶”。首先,盗版游戏因缺乏严格的安全检测,容易成为恶意代码的藏身之所。这些恶意代码可能以多种隐蔽形式存在,比如被篡改的安装程序、捆绑的破解补丁,以及伪装成游戏更新的恶意文件等。其次,汉化补丁虽本身不直接包含恶意软件,但却存在被病毒捆绑的风险,从而使得恶意代码能够借助补丁进行传播。再者,游戏外挂辅助工具虽然能够在一定程度上增强游戏体验,但同时也为黑客提供了可乘之机。黑客可能会通过修改器或外挂,将木马程序或后门代码植入其中。当玩家运行这些外挂工具时,恶意代码便会随之在系统中启动并运行,进而导致病毒进一步扩散。
常见被感染工具与软件

在这些潜在风险中,盗版游戏尤为引人关注。尽管部分用户清楚盗版游戏存在风险,但免费体验和破解功能仍会吸引一些人冒险下载安装。面对杀毒软件发出的安全警告,也可能选择忽略,内心或许抱有“只安装一次,应该没事”或“破解工具能玩到完整版,杀毒软件可能存在误报”等侥幸想法。为了确保盗版游戏或破解工具顺利运行,很多用户甚至主动关闭杀毒软件,这种“功能诱惑”行为大幅提高了计算机被感染的概率,使病毒得以借助网络传播。
同时盗版游戏的传播往往具有大规模的特点,它们可通过社交平台、文件共享、P2P网络等途径迅速扩散。许多玩家在不知情的情况下,将携带病毒的游戏安装包分享给其他人,或者通过社交工具进行传播,从而进一步加剧了病毒的蔓延,引发大规模的安全危机。

近期,火绒威胁情报中心监测到一种感染型病毒,可通过ACG色情类游戏网站进行大规模传播。该病毒通过感染游戏安装包或补丁程序,诱导用户下载并执行。用户下载安装游戏后,病毒便会在后台悄然执行,利用社会工程学手段进一步渗透系统,修改PE可执行文件,并执行恶意代码下载执行,从而实现远程控制、文件感染等多重恶意行为。该病毒传播手段高效,且受害者多为易被误导安装的年轻用户,容易暴露个人隐私信息,该病毒虽然是一个老旧的感染型病毒,但目前仍在广泛传播,对用户设备和信息安全构成严重威胁。火绒安全产品可有效查杀清除该病毒,请广大用户及时进行全盘查杀以提高防御能力。
查杀图
一、溯源分析
在对病毒文件进行深入分析,并借助火绒终端威胁情报系统进行溯源后,我们发现以下文件仍在广泛传播:
  • ACG资源发布器.exe(17A8D4AD759D2EF1F9C539C7051645BEFB8112F2)
  • Game.exe(F09774149E0BA728C7921FD3713BEC3E1C178E3B)
  • 173登录器生成器V22.01.exe(4e8a8a8a9bd5c70e5d33848700c141ca585b5e46)

进一步溯源分析显示,这些文件的来源可追溯至以下网站,并通过这些渠道进行大规模传播。
  • www.acgaw.com
    该网站通过发布ACG游戏吸引了大量用户,但其发布的所有游戏均已被感染,下载的所有游戏均带有ACG资源发布器.exe文件(已被感染文件)。目前,该网站的每日活跃用户数已超过上万。为了保障系统安全,我们建议广大用户立即停止从该网站下载任何游戏或程序,以防感染病毒并造成进一步的危害。

ACG传播网站

同时,该网站还存在诱导用户关闭杀毒软件的行为,企图绕过安全防护,从而进一步加剧了感染风险。为了保护您的设备和个人信息安全,请广大用户务必提高警惕,切勿轻信此类诱导,始终保持杀毒软件处于开启状态,并及时进行更新,以增强系统的安全防护能力。
诱导关闭杀软

经过对该网站的溯源分析,我们发现其主站发布ACG游戏(采用付费形式下载),同时关联了多个子站(签到形式下载)进行推广。子站通过提供与主站类似的游戏资源吸引用户访问,从而进一步扩大病毒的传播范围。进一步溯源这些网站后发现,其购买联系方式(Telgram)均为同一个账户,推测该制作者的电脑设备可能已经感染病毒,导致其发布的游戏中被植入恶意软件,进而通过网站传播给大量用户。以下是部分子站链接:
ACG子站

  • www.mengzhan13.xyz和kooink.com
    通过火绒终端威胁情报系统的监测,发现部分用户在以下网站下载游戏时也同样感染了该病毒(game.exe)。

色情游戏传播网站
游戏下载站

  • 游戏私服(173登录器生成器V22.01.exe)
    部分游戏私服也同样存在被感染的情况。这些私服通过非官方渠道吸引玩家,其服务器在不知不觉中被病毒感染,导致玩家运行游戏客户端时也会被感染。一旦感染,这些私服不仅会窃取玩家的账号信息,还可能将病毒扩散至玩家的设备上,造成更大范围的安全隐患。

游戏私服服务器

二、样本分析
该病毒利用常用工具和破解程序感染用户,随后通过远程服务器控制下载并执行更深层次的恶意代码,同时结合文件感染机制,从而实现大规模扩散。实际上,该病毒样本是一个老旧的感染型病毒,曾在早期的其他传播活动中被使用。由于其技术手段相对成熟且特征明显,我们对其进行了简要分析。
流程图

被感染的样本首先修复原始的入口点,然后通过PEB获取kernel32.dll的基址。
修复EntryPoint

将感染文件主体写入临时目录,并执行该文件。
释放感染主体

接下来对感染文件主体进行分析。
感染文件主体首先会提升权限,然后通过注册表判断是否已经被感染,如果未被感染则开启线程远程下载恶意代码,之后执行感染逻辑,对本机文件进行全盘感染。
主函数
注册表判断

其中配置文件需要解密自身内存,解密算法如下。
解密数据

感染文件首先会创建线程远程下载。
远程下载

之后执行感染逻辑:同样采用创建线程的形式感染全盘文件。
感染文件

判断该文件夹是否存在于已解密的配置文件中。
目录判断

感染逻辑首先会获取文件的路径,检测文件后缀是否是exe或者压缩包文件。
文件类型判断

然后根据shellcode中的特征,对原始的跳转偏移进行修改,以便能够跳回源文件代码继续执行。
特征替换

函数的逻辑主要实现了以下功能:
1.检查目标文件合法性:验证文件是否为PE文件,并确认其无数字签名。
2.感染文件:修改节区表、新增节写入恶意代码(shellcode),并修改入口点。
3.清理资源:处理文件句柄、内存映射,确保资源释放。
感染逻辑

三、附录
C&C:
HASH:

说点大白话:
有的小伙伴表示没有学过计算机知识,看不太懂这篇文章,那么你可以参考如下说明。
在深山的原始森林中,生活着一个部落,部落里的居民想要获得干净的水和食物,需要长途跋涉去寻找。这时,狡诈的商人声称自己拥有大量的免费资源,虽然大部分居民都不相信从天而降的馅饼,但是有一些年轻人不愿再忍受长途跋涉的辛苦,便决定接受商人的“好意”。他们跟随商人来到一个看似资源丰富的地点,却在不知情的情况下使用了这些资源,结果身体出现了不适,甚至有人因此生病。居民们这才发现,所谓的“干净水源”和“充足食物”都隐藏着危险:水源被污染,食物也暗藏毒素,那些看似诱人的资源背后,其实早已被布下陷阱。
“资源丰富的地点”是盗版游戏、汉化补丁、游戏外挂辅助等工具及软件,“毒素”是其中暗藏的感染型病毒。

目前,火绒安全可有效查杀该病毒,彻底清除病毒恶意代码,并还原被感染的游戏文件,恢复其正常功能。您只需使用火绒安全对系统进行全盘扫描,即可快速定位并解决感染问题,避免病毒带来的进一步危害,保障系统安全~

免费评分

参与人数 65吾爱币 +57 热心值 +63 收起 理由
wwvvy + 1 + 1 我很赞同!
HelloWorld101 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
chen051233 + 1 + 1 热心回复!
KONKAv983 + 1 + 1 谢谢@Thanks!
空若野 + 1 用心讨论,共获提升!
zuiqiang1124 + 1 + 1 我很赞同!
幻空、 + 1 + 1 我很赞同!
78ldog + 1 我很赞同!
Boron + 1 + 1 支持火绒,让网络环境更安全!
sakya1224 + 1 + 1 我很赞同!
路小水 + 1 + 1 谢谢@Thanks!
gameyw + 1 + 1 谢谢@Thanks!
坡婆子 + 1 + 1 用心讨论,共获提升!
lzl12061103 + 1 + 1 谢谢@Thanks!
vlking8 + 1 + 1 我很赞同!
456675564343 + 1 + 1 大哥干得漂亮!
321fy + 1 我很赞同!
gxj139 + 1 我很赞同!
Yc24 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
过往的雨安居q + 1 + 1 我很赞同!
qinqingyuqianqi + 1 + 1 我很赞同!
jsjjxj + 1 + 1 谢谢@Thanks!
SweetRain + 1 + 1 我很赞同!
灵魂歌手 + 1 + 1 谢谢@Thanks!
shimin20089 + 1 + 1 热心回复!
starryyx + 1 + 1 谢谢@Thanks!
Waxiaodong06 + 1 + 1 热心回复!
installli + 1 谢谢@Thanks!
ggh0211 + 1 + 1 我很赞同!
mowentianji + 1 + 1 我很赞同!
Zipming1014 + 1 + 1 谢谢@Thanks!
x7032360 + 1 + 1 谢谢@Thanks!
吾爱春秋 + 1 + 1 我很赞同!
52c6 + 1 + 1 用心讨论,共获提升!
weidechan + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
mmtzwyd + 1 + 1 谢谢@Thanks!
hxxjn + 1 + 1 谢谢@Thanks!
snoopylike + 1 我很赞同!
bigmojin + 1 + 1 谢谢@Thanks!
cz911 + 1 谢谢@Thanks!
mrjian + 1 + 1 谢谢@Thanks!
feishibudong + 1 谢谢@Thanks!
203502sd + 1 谢谢@Thanks!
cloudy520 + 1 + 1 谢谢@Thanks!
nggyok + 1 + 1 我很赞同!
zzy0laj + 1 + 1 谢谢@Thanks!
wuaipojie00001 + 1 + 1 热心回复!
fredyakumo + 1 + 1 我很赞同!
qq8989 + 1 + 1 我很赞同!
pp67868450 + 1 + 1 用心讨论,共获提升!
bmd799 + 1 + 1 用心讨论,共获提升!
aaab1232 + 1 + 1 谢谢@Thanks!
lixyao + 1 + 1 谢谢老师的提醒
94e8v061 + 1 + 1 谢谢@Thanks!
xiaoxinbai + 1 + 1 用心讨论,共获提升!
Ghang + 1 + 1 谢谢@Thanks!
melooon + 1 + 1 我很赞同!
aahong + 1 谢谢@Thanks!
bucaiGitHub + 1 + 1 还好我不玩
twtimkf + 1 + 1 又一个赛博花柳!
xsl9106 + 1 + 1 谢谢@Thanks!
laozhang4201 + 1 + 1 热心回复!
kavxc + 1 + 1 谢谢@Thanks!
jiushiyaole + 1 + 1 谢谢@Thanks!
硬骨头长了毛 + 1 + 1 谢谢@Thanks!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
KaneHiroshi 发表于 2025-1-11 16:40
所以最好的方法就是支持正版,不用去玩各种各样的汉化组,也许会中招
推荐
kongson 发表于 2025-1-10 07:59
本帖最后由 kongson 于 2025-1-10 08:01 编辑

谢谢楼主,有时回看到很多这种破解游戏
                       

                                   
  • 全选
                                   
  • 反选
                                   
  • 复制所选
                                   
  • 复制地址
                                   
  • 种子下载1
                                   
  • 种子下载2
                           
               
沙发
星凯 发表于 2025-1-9 21:19
3#
蘋果 发表于 2025-1-9 21:22
火绒可以的
4#
8102mao 发表于 2025-1-9 21:32
感谢楼主提醒,果然还是火绒靠谱。
5#
爱生活520 发表于 2025-1-9 22:08
中了 wxr 勒索病毒,一直为解
6#
han163426 发表于 2025-1-9 22:09
真牛啊,不愧是大佬
7#
lwh206 发表于 2025-1-9 22:56
火绒牛啊
8#
liuchao88 发表于 2025-1-9 23:10
支持火绒
9#
Wpfwpf 发表于 2025-1-9 23:14
支持,政务类工作者得加强学习,宣传意识
10#
pglterry 发表于 2025-1-10 00:28
感谢火绒,个人还是要小心来路不明的“破解”游戏
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2025-1-20 19:39

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表