《傳奇》私服登錄器暗藏木馬導(dǎo)致大量電腦藍(lán)屏

熱門游戲私服一向是木馬病毒重災(zāi)區(qū)，然而不少玩家仍心存僥幸，“大不了玩過游戲后再殺毒”，不顧安全軟件報(bào)警而冒險(xiǎn)使用私服登錄器等風(fēng)險(xiǎn)工具，從而對(duì)系統(tǒng)造成嚴(yán)重破壞，近期一款帶毒的《傳奇》私服登錄器更是導(dǎo)致大量電腦藍(lán)屏。

360安全中心分析發(fā)現(xiàn)，該私服登錄器木馬具有劫持其他私服網(wǎng)址、加載惡意驅(qū)動(dòng)行為。此外，該木馬驅(qū)動(dòng)還存在明顯BUG，一旦安裝在系統(tǒng)中，就會(huì)造成電腦藍(lán)屏、反復(fù)重啟，甚至使受害用戶重要數(shù)據(jù)丟失。

作為長期泛濫的地下黑色產(chǎn)業(yè)，網(wǎng)游私服經(jīng)營者之間的爭斗趨于白熱化。為了爭奪“生意”，一些私服客戶端以木馬手段劫持用戶訪問的網(wǎng)址，并通過在線升級(jí)把后門程序安裝到電腦中，對(duì)用戶信息安全造成巨大風(fēng)險(xiǎn)。

國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）報(bào)告顯示，網(wǎng)游私服經(jīng)營者之間爭斗引發(fā)的網(wǎng)絡(luò)安全事件呈現(xiàn)增長趨勢(shì)，嚴(yán)重威脅互聯(lián)網(wǎng)基礎(chǔ)設(shè)施安全和廣大用戶利益。今年2月，一家不法私服網(wǎng)站以租用IDC 機(jī)房、控制肉機(jī)等方式，對(duì)其他私服網(wǎng)站使用的域名服務(wù)器發(fā)動(dòng)大規(guī)模拒絕服務(wù)攻擊，造成我國國際出入口以及多個(gè)省份的域名服務(wù)器流量出現(xiàn)異常激增，全網(wǎng) DNS 流量峰值達(dá) 90Gbps，對(duì)用戶正常上網(wǎng)造成影響。

由于私服客戶端通常會(huì)誘導(dǎo)用戶關(guān)閉安全軟件，以達(dá)到其篡改系統(tǒng)設(shè)置的目的。對(duì)此360安全工程師提醒游戲玩家，千萬不要誤信私服的提示，在安全軟件報(bào)警攔截時(shí)應(yīng)按提示清除木馬。如果有游戲玩家誤信私服木馬而中招，可使用360系統(tǒng)急救箱進(jìn)行查殺，能夠有效清除私服驅(qū)動(dòng)等頑固木馬。

附：《傳奇》私服登錄器木馬分析

一、創(chuàng)建hosts.ics文件，把其他《傳奇》私服網(wǎng)站劫持到同一個(gè)網(wǎng)址。該hosts.ics位于X:\windows\system32\drivers\etc\目錄（X為操作系統(tǒng)所在盤符），正常系統(tǒng)是不存在這個(gè)文件的。木馬劫持網(wǎng)站如下：

二、加載惡意驅(qū)動(dòng)GamesGuardnet.dat文件，通過注冊(cè)系統(tǒng)LoadImageNotify來阻止其他私服外掛驅(qū)動(dòng)的加載，甚至攔截安全軟件驅(qū)動(dòng)程序的加載。

三、Hook系統(tǒng)調(diào)用 NtDeviceIoControlFile攔截網(wǎng)絡(luò)操作，把其他《傳奇》私服網(wǎng)站劫持到同一網(wǎng)址：

四、木馬驅(qū)動(dòng)編寫水平低劣，存在嚴(yán)重BUG，導(dǎo)致受害電腦反復(fù)藍(lán)屏重啟，甚至可能造成重要數(shù)據(jù)丟失。