亚洲 欧洲 日韩 综合色天使,久久国产Av无码一区二区老太,人妻醉酒被下药迷昏带到诊所 ,亚州老熟女A片AV色欲小说

csrss.exe是什么程序在資源監(jiān)視器中沒有描述,csrss.exe是干嘛的?

投稿用戶 ? ? 創(chuàng)業(yè)雜談 ? 閱讀 659

導(dǎo)讀:近日,國內(nèi)知名安全團(tuán)隊(duì)發(fā)現(xiàn)一款名為愛玩寶傳奇盒子的傳奇私服登錄器正在向用戶電腦中植入病毒。黑客可通過C&C服務(wù)器控制受害終端下載、執(zhí)行任意惡意代碼,大家謹(jǐn)慎下載。

病毒為什么鐘愛于私服游戲

傳奇私服,是私服的一小類,由熱血傳奇發(fā)展而來,雖然是違規(guī),但還是阻擋不住情懷玩家的熱情,因?yàn)樗膬?yōu)點(diǎn)卻是太多,首先是完全免費(fèi)可以進(jìn)入游戲,不需要充值點(diǎn)卡及其它費(fèi)用,而且升級速度相比熱血傳奇容易很多,裝備也更好打。

csrss.exe是什么程序在資源監(jiān)視器中沒有描述,csrss.exe是干嘛的?

所以從第一個傳奇私服到現(xiàn)在,已經(jīng)上十載,卻經(jīng)久不衰,仍然有不少的玩家比較鐘意傳奇私服,但是往往就忽視了它的軟件安全。

病毒的威脅

近日,火絨安全實(shí)驗(yàn)室就發(fā)現(xiàn)一款名為愛玩寶傳奇盒子的傳奇私服登錄器正在向用戶電腦中植入病毒。黑客可通過C&C服務(wù)器控制受害終端下載、執(zhí)行任意惡意代碼,惡意代碼功能包括:阻止安全軟件驅(qū)動正常加載,定期彈出廣告窗口功能。此外,我們通過對相關(guān)威脅數(shù)據(jù)的追蹤發(fā)現(xiàn),該惡意模塊還在持續(xù)更新,不排除黑客下發(fā)更具威脅的惡意代碼到用戶本地執(zhí)行的可能性。

csrss.exe是什么程序在資源監(jiān)視器中沒有描述,csrss.exe是干嘛的?

C&C服務(wù)器是由攻擊者的計算機(jī)將命令發(fā)送到受惡意軟件入侵的系統(tǒng),并從目標(biāo)網(wǎng)絡(luò)接收被盜的數(shù)據(jù)。值得一提,現(xiàn)在已經(jīng)發(fā)現(xiàn)許多c&c服務(wù)器為IDC服務(wù)器以及使用基于云的服務(wù),例如網(wǎng)絡(luò)郵件和文件共享服務(wù),因?yàn)镃&C服務(wù)器可以與正常流量融合在一起并避免被檢測到。

病毒分析,推送惡意廣告

愛玩寶傳奇盒子安裝程序名為csrss.exe(與系統(tǒng)文件同名),在用戶完成安裝后會釋放兩個惡意模塊Advertisement.exe和KQ6k707bwC0I.exe。其中Advertisement.exe啟動后會在后臺靜默運(yùn)行,定期彈出廣告。通過分析代碼,發(fā)現(xiàn)程序帶有日志功能,默認(rèn)處于關(guān)閉狀態(tài)。日志功能開啟后,可以看到該惡意模塊與C&C服務(wù)器的通訊過程,但在我們分析過程中服務(wù)器未返回有效的廣告信息。日志信息及相關(guān)代碼邏輯信息,如下圖所示:

csrss.exe是什么程序在資源監(jiān)視器中沒有描述,csrss.exe是干嘛的?

代碼邏輯

日志信息截圖:

csrss.exe是什么程序在資源監(jiān)視器中沒有描述,csrss.exe是干嘛的?

日志信息截圖

KQ6k707bwC0I.exe會釋放Fsfilter.sys惡意驅(qū)動模塊,該模塊會與C&C服務(wù)器通信下載、執(zhí)行任意惡意模塊。 驅(qū)動數(shù)字簽名,如下圖所示:

csrss.exe是什么程序在資源監(jiān)視器中沒有描述,csrss.exe是干嘛的?

驅(qū)動數(shù)字簽名

該模塊從C&C服務(wù)器上獲取更新模塊(update.exe),相關(guān)日志信息,如下圖所示:

csrss.exe是什么程序在資源監(jiān)視器中沒有描述,csrss.exe是干嘛的?

更新模塊

更新模塊啟動后會釋放出相關(guān)惡意驅(qū)動模塊,相關(guān)行為信息,如下圖所示:

csrss.exe是什么程序在資源監(jiān)視器中沒有描述,csrss.exe是干嘛的?

釋放惡意驅(qū)動模塊

該惡意驅(qū)動模塊通過注冊系統(tǒng)回調(diào)函數(shù),阻礙專殺工具驅(qū)動正常加載,火絨劍攔截到相關(guān)行為信息,如下圖所示:

csrss.exe是什么程序在資源監(jiān)視器中沒有描述,csrss.exe是干嘛的?

火絨劍攔截到相關(guān)行為信息

卸載過程復(fù)雜繁瑣

該軟件卸載流程非常繁瑣,障礙用戶正常卸載,首先需要填寫至少20字的卸載理由并且必須填寫QQ號碼等聯(lián)系方式,卸載完成之后發(fā)現(xiàn)惡意驅(qū)動會繼續(xù)常駐用戶系統(tǒng)執(zhí)行惡意行為。如下圖所示:

csrss.exe是什么程序在資源監(jiān)視器中沒有描述,csrss.exe是干嘛的?

卸載過程復(fù)雜

csrss.exe是什么程序在資源監(jiān)視器中沒有描述,csrss.exe是干嘛的?

卸載復(fù)雜

顯示卸載完成后,惡意驅(qū)動會繼續(xù)常駐用戶系統(tǒng)執(zhí)行惡意行為。如下圖所示

csrss.exe是什么程序在資源監(jiān)視器中沒有描述,csrss.exe是干嘛的?

卸載后驅(qū)動模塊加載情況

惡意軟件追溯

根據(jù)惡意驅(qū)動的數(shù)字簽名溯源到相關(guān)公司的信息,如下圖所示:

csrss.exe是什么程序在資源監(jiān)視器中沒有描述,csrss.exe是干嘛的?

玩私服的風(fēng)險評估

玩私服雖然優(yōu)點(diǎn)很多,但是風(fēng)險極大,很容易人財兩空追悔莫及。為什么這么說呢?

首先私服制作者可以為所欲為。在私服游戲當(dāng)中,不法分子們完全憑自己的喜好操控一切,一旦心血來潮,立即會對數(shù)據(jù)進(jìn)行隨意修改,導(dǎo)致其中的玩家得不到任何公平及游戲性的保障,游戲過程自然也沒有樂趣可言。
其次是私服隨時可能會關(guān)服。私服本就是一件違法的行為,當(dāng)受到打擊和懲罰時,永久關(guān)服就成為了必然的結(jié)果,玩家的投入將會血本無歸,看著自己的時間和金錢打了水漂,屆時再后悔就為時已晚了!
最后是盜號風(fēng)險大,極容易中木馬病毒。很多不法分子會打著私服的旗號,實(shí)則為了傳播盜號病毒,當(dāng)大家在下載這些所謂“私服程序”的同時,電腦很可能被病毒感染,從而導(dǎo)致被盜號、個人信息被盜用等嚴(yán)重的風(fēng)險!

csrss.exe是什么程序在資源監(jiān)視器中沒有描述,csrss.exe是干嘛的?

感謝閱讀全文,喜歡網(wǎng)絡(luò)安全的小伙伴歡迎關(guān)注我的賬號,點(diǎn)贊轉(zhuǎn)發(fā),我們下期再見!

本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn),該文觀點(diǎn)僅代表作者本人。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容, 請發(fā)送郵件至 sumchina520@foxmail.com 舉報,一經(jīng)查實(shí),本站將立刻刪除。
如若轉(zhuǎn)載,請注明出處:http://www.qjsdgw.cn/132789.html
(0)
上一篇 2023年1月5日 am7:30
下一篇 2023年1月5日 am9:06

相關(guān)推薦