查看原文
其他

“外挂幽灵”团伙曝光 系双枪、紫狐两大病毒家族的幕后推手

腾讯御见 腾讯御见威胁情报中心 2019-05-25

一、概述
近期腾讯安全御见情报中心监控发现,“外挂幽灵“团伙持续活跃,该团伙主要通过七哥辅助网(www.52wzlt.cn)、我爱辅助网(www.50fzw.com)等多个游戏辅助工具(外挂)网站传播“双枪”、“紫狐”等木马,故名“外挂幽灵“。


这些网站提供的多款游戏外挂工具中被捆绑多个恶意程序,主要包括锁主页程序、“双枪”病毒家族和”紫狐“木马家族等等,两个病毒家族影响了全国数以万计的电脑。

游戏外挂捆绑的恶意程序


游戏玩家从这些游戏辅助网站下载并安装游戏外挂或辅助工具后,浏览器主页将会被锁定为www.2**5.com,同时电脑会被静默安装“开心输入法”等软件。


腾讯安全御见情报中心的监控数据显示,“外挂幽灵“团伙已通过这种方法使数万台电脑感染“双枪”和“紫狐”木马。全国各个省份均有发现,其中山东、广东、河南的中毒电脑数量位居全国前三。

“外挂幽灵“团伙传播感染态势分布


    通过腾讯安图高级威胁追溯系统,可以查询到“外挂幽灵“团伙的相关信息。

“外挂幽灵”团伙示意图


二、详细分析
将恶意程序和木马下载器捆绑在游戏外挂或游戏辅助中是“外挂幽灵“团伙传播“双枪”和“紫狐”等木马的惯用手段。


游戏玩家从七哥辅助网、我爱辅助网等游戏辅助(外挂)网站下载有问题的游戏辅助工具并运行,便会中招。如下图所示,从七哥辅助网下载“终结者2冰魂天使辅助.exe“,并使用自动化工具提取捆绑在“终结者2冰魂天使辅助.exe“中的PE文件。


该游戏辅助工具中内置的12个PE文件,主要包括“紫狐“下载器、开心输入法、锁主页程序和游戏辅助程序等。


运行类似的游戏辅助工具,玩家的电脑变会进行开心输入法静默安装,锁主页,下载“双枪“和”紫狐木马等危险操作。

 ”外挂幽灵“团伙传播流程


下面分别对“紫狐“和”双枪“木马的具体传播过程进行分析。对具体的代码分析感兴趣的小伙伴可以阅读以下两篇参考资料:《“双枪”木马专攻游戏外挂玩家,锁定主页强推开心输入法,让你完全开心不起来》、《“紫狐木马”暴力来袭,不幸被查杀》

“紫狐”木马在传播过程中,使用过的历史域名如下图所示。从图中可以看到,“紫狐”木马从2018年3月份开始活跃,在传播的过程中,使用到了多个恶意域名,并且大部分域名最终都关联到了216.250.99.5。目前,除了dl.kanshimei.cn之外,其他的域名和ip仍在传播“紫狐”木马。

“紫狐”木马传播分析


相比于“紫狐”木马,“双枪”木马的传播域名相对比较固定,我们监控到,通过开心输入法传播的“双枪”木马变种主要通过pcdn.qhaiyun.com、tlg.ppzos.com以及百度贴吧图片进行传播。其中通过百度贴吧传播的“双枪“木马被隐藏在不同的图片当中,但打开显示的却都是同一个美女。

 “双枪”木马传播分析


三、溯源及关联分析
通过御见威胁情报中心查询发现,我爱辅助网(www.50yxw.com)的多个url在传播“紫狐”木马,这些链接现在依然有效。

我爱辅助网传播“紫狐“木马


还有多个其他的游戏辅助网站与我爱辅助网(www.50yxw.com)解析到同一个ip地址,并且互相添加为友情链接。

183.131.85.18关联到的游戏辅助网站

友情链接


通过整理发现,www.50yxz.com等多个游戏辅助站点通过同一种方式传播“紫狐”木马。

多个游戏辅助网站传播”紫狐“木马


通过御见威胁情报中心查询发现,七哥辅助网(www.52wzlt.cn)同样也在传播“紫狐”木马。


七哥辅助网传播”紫狐“木马


进入七哥辅助网,在网站页面上找到了七哥游戏交流群,申请加入交流群。

七哥游戏交流群


在交流群的群共享文件中发现群主“七哥辅助网”共享的多个游戏辅助程序,其中“七哥荒野设备解封器.rar “解压后运行.exe程序会释放并执行”紫狐“木马下载器。

七哥荒野设备解封器.rar传播“紫狐“木马

   
综上所述:

“外挂幽灵“团伙已经通过多个游戏辅助网站进行”双枪”和“紫狐”木马的传播,而七哥辅助网(www.52wzlt.cn)和我爱辅助网(www.50fzw.com)更是长期通过不同方式间接或直接地传播”双枪”和“紫狐”木马,由此可见它们与“外挂幽灵”团伙之间的联系非常密切。


四、解决方案&安全建议
1.建议网民使用正规软件,尽量不要下载运行各类外挂辅助工具,外挂和游戏辅助工具是病毒木马、违规软件传播的主要渠道之一。


2.几乎所有外挂网站都会诱导、欺骗游戏玩家退出或关闭杀毒软件后再运行外挂。一旦照办,杀毒软件有很高的概率被隐藏在外挂中的病毒木马破坏,从而令电脑失去安全防护能力。

建议玩家不要关闭杀毒软件,当杀毒软件报警时,不要运行外挂程序。


附录:IOC
“外挂幽灵“团伙的部分IOC信息如下:
IP、Domain

pcdn.qhaiyun.com
tlg.ppzos.com
dl.kanshimei.cn
dl.s76ynnrb.club
up.j5674t.club
update.wpltbbrp.com
dl.enhknqql.club
dl.enhknqql.live
www.50fzw.com
www.52wzlt.cn
tj.enhknqql.club
tj.enhknqql.live
122.112.213.121    
183.131.85.18    
216.250.99.5


MD5

f1092fe05f8b2dd665fe8db4ffe2af65
e3416f54120a35ebb74e529c8fc51261
a577b5b0f3ea744e382c9b3eb1fd272e
14cb5bdf0bd7e83f059c898d60bf1ce2
04e3263b51d3ae62b6a0b867607d960c
540ccf8d34c62c05f8888b6d99342307
71defaebe562522f8fc69fb4d95292ed
e3ef55d9840812d3163fb7f2bd914b9d
78d41ff236a815bcac9730a79827fd30
c38d4658a2c6bc251e3e737b325959e4
176320ea5af84bf3f153352d3536c5ac
57a9e0e472349a5ac68127de67444380
8fb7eff2c622dedf587f21a6bebd9883
f740c6fc86d5908ec94536b7669f8768
f47fe1165be9d350dc5f85715c8ae1c9
f801b1b89fba8382e71150d9e8d66b4f
f61e3ebbadd9d8edb86e3bd0193d69b1
1ca203cf73ad32b8012bcd588a411f55
f1d5efbebafdbaab91bfa0aa54feb793
f2b71ff900821738a420f68cfe398300
f4dd75b7e93dc3dd312577f4f946cf72
faa8753b9a5d79f4d4a601c90bf0b2bd
8351e1f4b6faeff43019cc1baee9d571
e7ab55b5ba045383be8b30d85a959724
a98a4112fd56e57e1d260bbc5e9c7d1b
fe4345e471656a678d631f6e35a6035b
b4fb4c9dbdc7fd1b8ab68cf6a92a1867
db13882ae620ab0baf81221a7949aa91
d1b8ee15c86d2b6d49bdcd4e06e0fb0e
cb025abd3c40a2ba41bdd23071a292b6
56be8d93fcb96f612f604ea67a073b63
79a5867b2217a8a856302f71a4537d1f
7dfed9fc9c083a1df09674be849c4b44
9d089147d4d4adef45053c3736321d01


URL

http://pcdn.qhaiyun.com/dianpinyin/DDpxSetup19525_10052.exe
http://pcdn.qhaiyun.com/dianpinyin/DDpxSetup19525_10056.exe
http://pcdn.qhaiyun.com/update1100/yotect32.dll
http://pcdn.qhaiyun.com/update1068/yotect32.dll
http://pcdn.qhaiyun.com/update1092/yotect32.dll
http://pcdn.qhaiyun.com/update1301/yotect64.dll
http://pcdn.qhaiyun.com/update1099/yotect32.dll
http://dl.s76ynnrb.club/d/sjhitgnd_006.exe
http://dl.s76ynnrb.club/m/sjhitgnd_009.jpg
http://up.j5674t.club/d/sjhitgnd_015.exe
http://up.j5674t.club/m/wpltbbrp_018up.jpg
http://up.j5674t.club/d/sjhitgnd_002.exe
http://up.j5674t.club/m/sjhitgnd_002up.jpg
http://update.wpltbbrp.com/update/wpltbbrp_016.exe
http://update.wpltbbrp.com/m/wpltbbrp_006up.jpg
http://dl.enhknqql.club/m/sjhitgnd_015tj.php
http://dl.enhknqql.club/m/sjhitgnd_013up.jpg
http://www.50fzw.com/gg/qt/wpltbbrp_006.exe
http://www.50fzw.com/wpltbbrp_006.exe
http://www.52wzlt.cn/zxrj/sjhitgnd_007.exe


参考链接
“双枪”木马专攻游戏外挂玩家,锁定主页强推开心输入法,让你完全开心不起来
Ghost系统被植入“双枪2”病毒,病毒抢先攻占系统,杀毒软件变残废


友商发布的技术报告:

《“紫狐木马”暴力来袭,不幸被查杀》,链接:http://www.360.cn/n/10386.html



了解腾讯企业级安全产品

腾讯御见威胁情报中心诚邀各路英豪加盟


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存