一、 詳細分析

用戶反饋懷疑有兩款游戲（倚天OL、九州）私服登錄器中帶有后門病毒，經分析確認游戲中帶有后門病毒，其主要危害包括：發動DDoS（拒絕服務）攻擊、獲取SVN密碼、文件瀏覽、斷網攻擊（針對指定進程）、下發惡意模塊、檢測進程等惡意功能。在游戲私服登錄器啟動后，即會啟動后門病毒，病毒首先會嘗試下載其他惡意模塊（下文稱之為惡意啟動模塊）。之后病毒會在桌面目錄中搜索YY、酷狗音樂、酷我音樂、迅雷等軟件的快捷方式，如果存在，則會將病毒模塊替換成上述快捷方式的目標程序。后門病毒為了加強自身的隱蔽性，名字（NvBackControl.exe）和程序圖標均仿冒Nvidia顯卡相關程序。當惡意啟動模塊運行后，除了運行上述原有軟件主程序外，還會啟動后門病毒，此操作主要用于后門病毒在用戶計算機中進行長久駐留。病毒執行流程如下：

私服主程序啟動后，會啟動私服客戶端登錄器。私服客戶端登錄器中帶有啟動后門病毒的代碼，執行后會將名為“lab.lab”的后門病毒文件復制到%APPDATA%NvBackControl.exe并執行。相關代碼，如下圖所示：

拷貝執行病毒文件相關代碼

NvBackControl模塊啟動執行后，首先會進行更新和下載惡意模塊，然后執行后門通訊。先會向C&C服務器（hxxp://upload.zzres.com/back/header.txt）請求配置，其中包含后門通訊地址和更新地址。配置內容，如下圖所示：

更新配置

具體代碼，如下圖所示：

下載更新配置

解析配置，并根據配置下載惡意模塊到%APPDATA%CleanTrash目錄下的各種back*.dat文件中。相關代碼，如下圖所示：

解析配置文件

更新自身和下載其他惡意模塊

遍歷桌面上的快捷方式，如果存在相關的快捷方式（YY、酷狗音樂、酷我音樂、迅雷等），則將對應的惡意模塊拷貝到對應的目錄下，并將桌面上的快捷方式指向病毒模塊。當用戶點擊經過篡改的快捷方式時，便會執行病毒模塊。相關代碼，如下圖所示：

拷貝病毒文件

下載下來的其他惡意模塊有兩種，xxxSc.exe和sqlite3.dll，其功能基本一致。通過快捷方式或動態庫替換的方式來啟動后門程序NvBackControl模塊，從而達到持久化運行的目的。病毒模塊代碼，如下圖所示：

QQMusicSc模塊

sqlite3模塊

病毒執行流程

后門功能

發起DDoS攻擊

DDoS相關功能首先會對攻擊地址信息進行解析，之后調用攻擊代碼對目標地址進行攻擊。相關代碼，如下圖所示：

DDoS攻擊代碼調用邏輯

tcp_ddos_attack中會根據傳入的攻擊地址信息不斷的進行DDoS攻擊。DDoS相關代碼，如下圖所示：

DDoS發送數據相關代碼

獲取SVN密碼
該后門模塊還可根據遠控指令獲取用戶電腦上的SVN賬號密碼信息。首先遍歷用戶電腦%APPDATA%Subversionauthsvn.simple目錄下文件信息并刪除txt文件，相關代碼如下圖所示：

遍歷svn賬號信息目錄并刪除txt文件

當遍歷到用戶本地存儲的svn賬號信息文件之后，便對其開始解密，獲取所需密碼信息。相關代碼如下圖所示：

解密，獲取用戶svn賬號信息

斷網攻擊
該后門模塊還可根據遠控指令對目標進程實行斷網攻擊。首先根據遠控指令尋找目標進程，相關代碼如下圖所示：

根據遠控指令尋找目標進程

當尋找到目標進程后，便會獲取該進程內的TCP連接信息并進行刪除，從而實現對指定進程的斷網攻擊。相關代碼如下圖所示：

對目標進程實行斷網攻擊

檢測進程
該后門模塊還可根據遠控指令來檢測用戶電腦是否存在目標進程，相關代碼如下圖所示：

檢測目標進程

下發惡意模塊
該后門模塊的更新功能與上文所述的啟動時更新邏輯相同，相關代碼如下圖所示：

后門模塊更新

文件瀏覽
該后門模塊還可以瀏覽用戶電腦的文件信息，相關代碼如下圖所示：

瀏覽文件信息

二、 溯源分析

報告中涉及的倚天OL私服游戲官網，如下圖所示：

網站首頁

該游戲在其它私服游戲廣告平臺的推廣信息，如下圖所示：

廣告推廣

此外根據后門更新配置的C&C域名（upload.zzres.com）信息發現如下備案信息，如下圖所示：

備案信息

在此C&C域名主站首頁中發現了大量與游戲私服定制，源碼相關的信息，如下圖所示：

后門模塊C&C域名主站信息

我這整理了一些網絡安全的資料

有需要的可以call me

總結

以上是生活随笔為你收集整理的【网络安全】黑客是怎么利用私服游戏远控电脑的呢？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。