迷失传奇网站是多年以前十分典范的收集游戏,时至今日,这个游戏仍然具有很高的人气。同时,互联网上有大量的私服能够让有“情怀”的玩家沉温典范。可是,恰是因为这些私服十分众多,很容易被一些图谋不轨的黑客操纵来做一些不合理的工作,因而具有很高的平安风险。一旦运转这些私服的登录器,你的电脑很可能就会沦为“肉鸡”,任由黑客摆布。
近日,360成都反病毒核心留意到一批可疑的迷失传奇网站私服登录器,可疑之处正在于这些登录器法式城市拜候博客网址。可是,私服登录器法式中怎样会拜候博客网址呢?是私服做者的博客?仍是这个私服做者手滑乱写的?它们到底有什么联系?接下来让我们深切阐发看看到底是怎样一回事。
起首打开这个博客的网址看看,它是这个样子的
拜候量还不少,看来这个私服曾经有不少玩家正在利用。细心看看,这个博文概况上是一些乱打出来的字符串,其实这是一段加密的数据,解密出来则是一个IP地址和端口。运转私服登录器后法式会将私服的登录服务器列表URL加密后发送到这个解密出的IP地址,这里不清晰如许做的目标,也可能只是为了统计数据,沉点正在后面。
登录器解密出一个图片网址:
新加载的DLL会释放文件D:\ProgramFiles\CheatDefender\TortoiseOne.exe并运转。乍看这个可施行法式的路径,还认为是用来反外挂的,其实并非如斯。它会正在内存中间接加载数据段中的一个DLL文件并挪用名为“Start”的导出函数。
有点意义!这个博文的拜候量十分惊人,能够想象这个黑客节制了大量玩家的电脑。博文的环节内容正在于那几个符号包抄起来的十六进制字符串,解密后同样是一个IP地址和端口,接着毗连到这个IP地址领受数据,领受到的数据是几个图片的URL传世私服网站新开网,如下
正在图片的末尾包含了大量加密的附加数据,此中一个图片的附加数据解密后是一个DLL文件。同样的,这个DLL文件会间接正在内存中被加载起来,同时名为“Start”的导出函数将被挪用。别的一个图片的附加数据则是一个驱动文件,这个驱动文件会以加密的形式被保留到系统的姑且目次中。同时,登录器会正在注册表中保留相关的配相信息
就是劫持列表中的一个网址,网上还有大量雷同的问题反馈,这些用户就是由于电脑中利用了此类私服导致的。因为是驱动正在系统内核中劫持的,正在注册表、hosts文件等劫持收集常见的位置中均找不到任何非常。
这些私服登录器来历不明,具有很高的平安风险,假如只是劫持几个私服网页还好,可是如许一个地痞驱动恶意驻留正在电脑中,完全能够转化成一个后门,做者完全随时能够把服务器上的文件换成其他的恶意法式,那样才是最恐怖的。
已有 0 条评论了