虛假的游戲外掛，真正的木馬病毒

炎炎夏日暑假就要到來(lái)了，少了老師學(xué)校的監管，擺脫“三點(diǎn)一線(xiàn)”的生活方式，學(xué)生們紛紛放飛自我，開(kāi)玩自身的freestyle。在《絕地求生》中宣泄怒火，開(kāi)黑《王者榮耀》坑隊友，劍舞《陰陽(yáng)師》智斗魑魅魍魎……沉溺在手游“迷夢(mèng)”中的孩子們玩得不亦樂(lè )乎。

對于資深游戲迷來(lái)說(shuō)，“外掛”這個(gè)詞一定不陌生。盡管面臨被封號的危險，但仍有部分游戲玩家玩兒游戲喜歡到處找外掛或游戲輔助工具，而病毒傳播者往往利用游戲玩家這一點(diǎn)傳播木馬病毒，專(zhuān)門(mén)用來(lái)游戲盜號、竊取隱私，甚至遠程控制。

1. 基于JavaScript的木馬

最近，研究人員發(fā)現了一種新的基于JavaScript的模塊化下載程序特洛伊木馬，并通過(guò)其開(kāi)發(fā)人員擁有的網(wǎng)站以游戲外掛的形式分發(fā)給目標。

該惡意木馬是由Yandex發(fā)現的，隨后將其發(fā)送給Doctor Web的研究團隊進(jìn)行進(jìn)一步分析，并提供了有關(guān)如何分發(fā)該特洛伊木馬樣本的其他信息。研究人員發(fā)現，這個(gè)被稱(chēng)為MonsterInstall的特洛伊木馬程序使用Node.js在受害者的機器上執行命令。

“當用戶(hù)試圖下載這個(gè)外掛時(shí)，他們會(huì )將一個(gè)受密碼保護的7zip存檔下載到他們的計算機上，里面有一個(gè)可執行文件。一旦啟動(dòng)，將下載該外掛以及其他木馬組件，”Doctor Web表示。

2. 滲透系統，收集信息

啟動(dòng)后，MonsterInstall下載程序木馬通過(guò)將自身添加到受感染計算機的自動(dòng)運行來(lái)獲得持久性，以便在重新啟動(dòng)計算機后也能自動(dòng)啟動(dòng)。

隨后，MonsterInstall將開(kāi)始收集系統信息并將其發(fā)送到其命令和控制(C&C)服務(wù)器?！白鳛榛貞?，它接收到特洛伊木馬工作程序和更新程序模塊的鏈接，解壓縮并將它們安裝到系統中?！?

3. 游戲外掛大多“有毒”

游戲向來(lái)是不法分子發(fā)動(dòng)網(wǎng)絡(luò )攻擊的重災地，伴隨著(zhù)各類(lèi)游戲的火爆，不法分子也進(jìn)一步精確攻擊對象。其實(shí)外掛本身是通過(guò)更改游戲數據的方式實(shí)現外掛作用的，所以外掛本身就是一種病毒，自然會(huì )被識別成病毒。惟一的方法是在使用外掛的時(shí)候關(guān)閉殺毒軟件。但不可否認現在外掛帶病毒的現象十分普遍，關(guān)閉了殺毒軟件就更容易中毒了。

例如，2017年6月2日，就有消息爆料了一款冒充時(shí)下熱門(mén)手游《王者榮耀》輔助工具的手機勒索病毒。該勒索病毒被安裝進(jìn)手機后，會(huì )對手機中照片、下載、云盤(pán)等目錄下的個(gè)人文件進(jìn)行加密，并索要贖金。據了解，該勒索病毒是國內第一款文件加密型勒索病毒，有爆發(fā)跡象，會(huì )威脅幾乎所有安卓平臺的手機。用戶(hù)一旦中招，可能丟失所有個(gè)人信息。

據稱(chēng)，該勒索病毒偽裝成當下最熱門(mén)的手游《王者榮耀》輔助外掛來(lái)誘惑用戶(hù)下載和安裝，并通過(guò)PC端和手機端的社交平臺、游戲群等渠道進(jìn)行傳播擴散。其在界面上高仿電腦版的“永恒之藍”勒索病毒，功能和電腦版一致。軟件運行后，用戶(hù)的桌面壁紙、軟件名稱(chēng)和圖標會(huì )被篡改。如果用戶(hù)三天內不解密，贖金將翻倍。一周不解密，手機中所有文件將被刪除。

文章來(lái)源：https://news.cndns.com/article/8855

相關(guān)推薦

【上云季-1折驚爆價(jià)】香港/美國高性能云服務(wù)器27元起秒殺專(zhuān)場(chǎng)，上云必備，火爆開(kāi)搶>>點(diǎn)擊查看詳情<<

【全球云-高性能限量搶】高性能云主機好用能省，高性能高配置高儲存，輕松解鎖云端場(chǎng)景>>點(diǎn)擊查看詳情<<

【服務(wù)器-特價(jià)服務(wù)器】新購指定配置可享受限時(shí)特惠7折。每個(gè)用戶(hù)不限臺數 低至280元月>>點(diǎn)擊查看詳情<<