作者:admin发布时间:2021-08-25分类:传奇私服浏览:250评论:10
在关机事件通知处理函数中,该驱动会将内存中自身文件内容的副本保存到新的随机路径,并写入新的驱动注册表信息来达到恶意驻留的目的,通过一般的手段无法将该流氓驱动清除。
驱动的核心功能在于通过TDI过滤进行网络劫持。当用户访问一些特定的网页时,将被重定向到指定的网页。劫持的行为都是由云端控制的,分析时云端返回的配置信息如下:
这是个被劫持的网站列表。被劫持到的网站则由博客云控,博文内容是这样的
博文中的密文解密后同样是一个IP地址和端口,这个就是被劫持到的网页地址,我们访问这个IP看看,是这样的:
******.com就是劫持列表中的一个网址,网上还有大量类似的问题反馈,这些用户就是因为电脑中使用了此类私服导致的。由于是驱动在系统内核中劫持的,在注册表、文件等劫持网络常见的位置中均找不到任何异常。
这些私服登录器来源不明,具有很高的安全风险,假如只是劫持几个私服网页还好,但是这样一个流氓驱动恶意驻留在电脑中,完全可以转化成一个后门,作者完全随时可以把服务器上的文件换成其他的恶意程序,那样才是最可怕的。
目前,360安全卫士和杀毒都已能对此恶意程序进行查杀,在此360反病毒专家提醒广大用户一定要在电脑中安装安全防护软件,同时养成良好的上网习惯,谨慎使用来源不明的软件。
编辑:小花妹妹
分享到:
已有10位网友发表了看法: