攻击者利用“白加黑”技术加载恶意DLL文件,解压出劫持网页模块,随后安装用于劫持网页的恶意驱动,最终达成将指定网址劫持至私服发布页面的攻击目的。
火绒表示,近期火绒威胁情报中心监测到QQ音乐目录下存在异常进程自启现象,经溯源分析,确认该进程文件为2021年版本的QQMusic.exe文件。
初始阶段:样本首先释放并运行原始文件,即传奇私服程序,随后下载配置文件并检查指定文件和注册表决定进入哪条分支。
下载劫持模块:第一分支和第二分支负责下载劫持模块sf999传奇新服网,尽管第三分支由于无法成功下载文件,所以火绒无法确切判断它是否也会执行下载劫持模块的操作,但在分类上依然将其归到这一阶段当中。
此外,该恶意驱动还可检测ARK工具驱动,并对其进行断链以隐藏自身驱动传奇世界sf,同时对安全软件的通信进行干扰。