金山网盾监测:游戏玩家下载西西游戏外挂会中大量木马_铁军的杀毒圈子_ ...
金山网盾监测:游戏玩家下载西西游戏外挂会中大量木马

据金山毒霸安全实验室监测,617日,金山网盾云端数据突然监测到西西游戏网的当日外挂下载均报危险。西西游戏网是深受外挂玩家欢迎的游戏外挂下载网站,外挂玩家出于对西西游戏网的信任,很可能认为杀毒软件误报西西游戏网下载的外挂程序。若已不幸中毒,可使用金山急救箱快速恢复系统,安装了金山网盾的用户将不会受害。

金山毒霸安全专家对西西游戏网的异常情况进行了详细检查,结果发现是西西游戏网近日提供了一个西西游戏登录器,这个登录器的作用是在西西游戏网不能登录时,使用登录器访问备用网站。但很不幸,这个备用网站被入侵,或备用网站出于某些原因被人为植入木马。当外挂玩家访问备用网站时,会下载大量xx木马。安装了金山网盾的玩家在打开西西游戏登录器访问到挂马页面时,金山网盾会立即弹出报警。

分析发现挂马的方式是在正常页面中插入


其中挂马页利用系统多个漏洞挂马,访问时会下载大量xx木马,下图中的js文件实际全部为PE文件(可执行程序)。
1.西西游戏网挂马页面下载的木马列表.png

1  西西游戏网挂马页面下载的木马列表

若外挂玩家不慎中招,会发现系统速度变慢。在开始、运行,输入%Temp%,会发现temp文件夹下出现大量隐藏属性的DLL文件
2.在temp文件夹发现大量DLL病毒.png
2  访问西西游戏网不慎中毒之后,会在temp文件夹发现大量DLL病毒

中毒后的电脑会发现桌面快捷方式小箭头不见了,这是病毒修改了桌面快捷方式的属性。

3.桌面快捷方式被修改.jpg

3 访问西西游戏网中毒之后,桌面快捷方式被修改

可以简单的使用dir命令,查看开始菜单快捷方式被病毒修改的情况

3-1.jpg
4  访问西西游戏网中毒之后,开始菜单程序组内的大量快捷方式被修改

查看被修改后的桌面快捷方式属性,会发现对应的打开方式已被修改为wscript.exe

4.快捷方式属性被修改.jpg

5   从西西游戏网下载中毒后,快捷方式属性被修改

西西游戏网被挂马的页面已被管理员发现xx,目前尚无法得知这是网站被黑客入侵还是其它人为原因。金山安全专家提醒游戏玩家,特别是偏好使用外挂的游戏玩家务必小心,推荐安装金山网盾拦截可能的威胁。

已经不幸中招的外挂玩家,可以使用金山急救箱来xx病毒,修复被破坏的系统。

5.恢复被破坏的系统.jpg


6  使用金山急救箱快速xx病毒,恢复被破坏的系统

开始菜单程序组的快捷方式修复后,小箭头恢复

5-1.jpg

7 使用金山急救箱快速xx病毒,恢复被破坏的快捷方式

使用DIR命令看一下快捷方式的扩展名是不是恢复了



图8 DIR命令检查快捷方式,发现扩展名已恢复



郑重声明:资讯 【金山网盾监测:游戏玩家下载西西游戏外挂会中大量木马_铁军的杀毒圈子_ ...】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——