今天火絨發(fā)布技術(shù)分析��,稱QQ音樂遭遇“白加黑”利用���,網(wǎng)站被劫持推廣傳奇私服�����。
火絨表示��,近期火絨威脅情報(bào)中心監(jiān)測(cè)到QQ音樂目錄下存在異常進(jìn)程自啟現(xiàn)象��,經(jīng)溯源分析��,確認(rèn)該進(jìn)程文件為2021年版本的QQMusic.exe文件��。
九游娛樂品牌介紹
攻擊者利用“白加黑”技術(shù)加載惡意DLL文件���,解壓出劫持網(wǎng)頁模塊�����,隨后安裝用于劫持網(wǎng)頁的惡意驅(qū)動(dòng)�����,最終達(dá)成將指定網(wǎng)址劫持至私服發(fā)布頁面的攻擊目的。
此外��,該惡意驅(qū)動(dòng)還可檢測(cè)ARK工具驅(qū)動(dòng),并對(duì)其進(jìn)行斷鏈以隱藏自身驅(qū)動(dòng)���,同時(shí)對(duì)安全軟件的通信進(jìn)行干擾�����。
初始階段:樣本首先釋放并運(yùn)行原始文件���,即傳奇私服程序,隨后下載配置文件并檢查指定文件和注冊(cè)表決定進(jìn)入哪條分支�����。
下載劫持模塊:第一分支和第二分支負(fù)責(zé)下載劫持模塊���,盡管第三分支由于無法成功下載文件�����,所以火絨無法確切判斷它是否也會(huì)執(zhí)行下載劫持模塊的操作���,但在分類上依然將其歸到這一階段當(dāng)中。
目前,火絨安全產(chǎn)品可對(duì)上述病毒進(jìn)行攔截查殺���,感興趣的可以前往查看完整 分析過程 �����。
