游戲黨注意！Rootkit病毒新變種通過私服登錄器傳播

近日，火絨安全實驗室發現一種新型Rootkit病毒新變種，該病毒利用傳奇私服登錄器進行傳播，用戶中毒后桌面上會出現名為“JJJ發布站”的快捷方式，并且刪除后會重新被釋放到桌面。當用戶訪問傳奇相關的網頁時，會被劫持到病毒作者預設的劫持網頁。且該Rootkit病毒會通過文件自保對抗安全軟件查殺，還會將系統版本和計算機名等終端信息上傳到病毒服務器。

病毒創建的快捷方式，如下圖所示：

推廣快捷圖標

快捷方式指向的推廣網頁，如下所示：

推廣頁面

火絨安全產品已對傳奇私服登錄器以及其攜帶的惡意模塊進行攔截查殺。已感染該病毒的用戶，可使用火絨專殺工具清除病毒，并重啟電腦后使用火絨【快速掃描】功能徹底查殺該病毒。

（專殺下載地址：https://bbs.huorong.cn/thread-18575-1-1.html）

Rootkit是一種系統內核級病毒，其進入內核模塊后能獲取到操作系統高級權限，從而隱藏和保護自身，以繞開安全軟件的檢測和查殺。不少Rootkit病毒會利用網絡游戲私服登錄器攜帶的惡意模塊進行激活，火絨安全提醒廣大游戲玩家要格外留意。

火絨安全查殺圖

病毒分析

當用戶訪問傳奇相關的網頁時會被劫持到病毒作者預設的推廣網頁，如：當訪問hxxps://www.zsf.com/時，會被劫持到hxxps://hebav.today/default/，相關代碼，如下圖所示：

劫持相關代碼

病毒驅動會將惡意代碼注入到Lsass.exe和Svchost.exe兩個系統進程中，偽裝成系統進程來執行惡意程序，相關代碼，如下圖所示：

注入代碼

被注入的惡意代碼會檢測360和騰訊電腦管家，并且還會將一些終端信息上傳到病毒服務器如：系統版本和計算機名等信息。相關代碼，如下圖所示：

收集本機相關信息

附錄

病毒HASH