遊戲黨注意！Rootkit病毒新變種透過私服登入器傳播

近日，火絨安全實驗室發現一款Rootkit病毒新變種，該病毒利用傳奇私服登入器進行傳播，使用者中毒後桌面上會出現名為“JJJ釋出站”的快捷方式，並且刪除後會重新被釋放到桌面。當用戶訪問傳奇相關的網頁時，會被劫持到病毒作者預設的劫持網頁。且該Rootkit病毒會透過檔案自保對抗安全軟體查殺，還會將系統版本和計算機名等終端資訊上傳到病毒伺服器。

病毒建立的快捷方式，如下圖所示：

快捷方式指向的推廣網頁，如下所示：

Rootkit是一種

系統核心級病毒

，其進入核心模組後能獲取到作業系統高階許可權，從而隱藏和保護自身，以繞開安全軟體的檢測和查殺。不少Rootkit病毒會利用網路遊戲私服登入器攜帶的惡意模組進行啟用，火絨安全提醒廣大遊戲玩家要格外留意。

火絨安全產品已對傳奇私服登入器以及其攜帶的惡意模組進行攔截查殺。已感染該病毒的使用者，可使用火絨專殺工具清除病毒，並重啟電腦後使用火絨【快速掃描】功能徹底查殺該病毒。

病毒分析

當用戶訪問傳奇相關的網頁時會被劫持到病毒作者預設的推廣網頁，相關程式碼，如下圖所示：

病毒驅動會將惡意程式碼注入到Lsass。exe和Svchost。exe兩個系統程序中，偽裝成系統程序來執行惡意程式，相關程式碼，如下圖所示：

注入程式碼

被注入的惡意程式碼會檢測360和騰訊電腦管家，並且還會將一些終端資訊上傳到病毒伺服器如：系統版本和計算機名等資訊。相關程式碼，如下圖所示：

收集相關資訊

附錄

病毒HASH