穿越火线外挂实为病毒"变形金刚" 16万PC被感染
“一直都很喜欢枪战网游穿越火线(玩家习惯缩写为CF),看论坛上有人说CFm4辅助插件可穿墙钻地,就下载了用。结果没看到辅助效果,电脑被强制安装了一些软件,帐号还被盗了。”游戏玩家大奔这样描述自己的经历。
金山毒霸安全专家指出,游戏玩家在提供CFm4辅助插件的网站下载的插件,实为一款技术型病毒。这种技术型病毒用多种复杂的变形手段成功逃过众多杀毒软件的查杀,模拟鼠标点击安装多款互联网软件,金山毒霸将病毒形象的命名为“变形金刚”。
图1 伪装成CFm4外挂“变形金山”病毒
据金山毒霸云安全中心的感染统计数据,“变形金刚”病毒已经感染超过16万台PC。检索百度指数,发现CFm4的指数上升非常明显,据此可推算受害玩家众多。
图2 CFm4的搜索指数增长迅速,随之伴随的是病毒感染量攀升
9月1日,两高司法解释强化了对病毒集团的打击力度,病毒集团的行为也随之发生变化。这个“变形金刚”病毒的目的就是推广互联网软件,为某些商业网站刷流量来骗取推广收入,盗号反而不是病毒的主要功能。
“变形金刚”病毒在技术上有很多亮点,这些技术特点使“变形金刚”病毒的生存周期大大延长。在感染16万台PC之后,仍有多个杀毒软件无法查杀。这些亮点包括:
1.URL变形:用以推广病毒的下载链接快速变形,使杀毒软件拦截有害下载地址的方法迅速失效。
2.文件MD5变形:下载的病毒文件快速更新,使得依赖MD5识别的杀毒软件迅速无效。
3.下载一段时间后,所有恶意行为关闭:就象常见的软件过期,令杀毒软件难以找到病毒源头。
4.利用暴风影音正常exe加载病毒DLL:病毒的执行模块(.dll文件)由带数字签名的暴风程序来间接启动,用以绕过杀毒软件的主动防御。
5.模拟鼠标点击静默安装好压、酷盘、lavagame (捆绑后台安装):病毒的这种行为更象是用户人为操作,使杀毒软件的主动防御被成功绕过,病毒推广互联网软件以骗取软件推广费,这是病毒集团获利的重要途径。
图3 病毒模拟鼠标点击来安装推广软件,以骗过杀毒软件的主动防御
6.后台开启IE,刷流量:这是病毒的目的之一,刷流量可以骗钱。
7.使用修改后的fastfat.sys来加载病毒驱动程序(fastfat.sys正常情况下是Windows系统文件),病毒用这个驱动模块来实现自身保护,以提高被杀毒软件清除的难度。
8.关机回写:这是病毒驱动程序的特别之处,当用户关闭电脑时,病毒的驱动程序会重新向硬盘写入程序,以保证下次开机时,病毒程序仍能自动运行。这种方法曾经在3721这样的流氓软件中广泛使用。
9.“变形金刚”病毒母体和一些盗号木马捆绑安装,以盗窃穿越火线(或其他网游)帐号密码。
金山毒霸安全专家指出,这种技术型病毒,金山毒霸2012内置的K+防御可以完美拦截。一些游戏外挂使用者不顾安全软件的安全警告执意运行“外挂”程序,结果令电脑沦陷。在电脑上“被安装”好压、酷盘、lavagame的玩家可下载金山顽固木马专杀来查杀病毒。
图4 金山毒霸K+系统防御可拦截“变形金刚”病毒
名词:
穿越火线:腾讯运营的一款韩国联网枪战游戏,玩家一般简称为CF,在中国拥有大量粉丝,高峰时同时在线量达300万人。火热的CF网游吸引了大量开发制作外挂或辅助工具的工作室,其中混入了大量以盗号为目的的病毒,一些专门分发外挂的网站还会突然将外挂替换为病毒。