随着网络游戏用户规模不断扩大，外挂软件也发展形成灰色产业，利用外挂软件传播病毒的也屡见不鲜。火绒曾多次披露外挂软件携带病毒危害用户的行为，包括木马程序收集色情信息等，甚至还有病毒作者公然在外挂程序中弹窗叫嚣“杀毒无用”……

溯源一起通过外挂软件投放后门病毒的恶性事件。通过分析发现，该后门病毒主要通过外挂程序(文中样本文件名为 “巴哈-盗贼之海 V4.1.exe”)进行传播，并通过官网提供下载链接（hxxp://xradar.cccpan.com/）。如下图：

 

 

  

 

 

该外挂程序携带的病毒在系统中运行后，会释放恶意模块，执行云控服务器下发的恶意指令，包括盗取用户账户密码、好友信息、监控用户屏幕等。此外，恶意模块还会通过释放、执行内核模块进行自我保护，对抗安全软件。病毒执行流程和释放文件如下图：

 

 

  

病毒执行流程图

 

 

释放文件及功能

 

 

而在该外挂软件的官网上，我们发现除了提供“巴哈-盗贼之海 V4.1.exe”外挂程序，还有“绝地求生”等多款游戏的外挂软件，经火绒工程师分析后同样发现其携带了上述病毒。

 

 

更为嚣张的是，为了进一步引诱用户下载，官网还给出了“干掉网吧防火墙”“添加数据保护”“清理残留驱动”等对抗与自保方式帮助用户使用，甚至贴出公告表示“请各位不用演戏，放心使用尽情奔放，已稳定8个月以上了”。如下图：

 

 

 

具体查杀步骤：（1）使用专杀工具查杀；（2）电脑重启；（3）重启后使用火绒安全软件进行病毒查杀即可。此外，火绒僵尸网络防护功能也可以成功拦截该病毒。

 

 

火绒查杀图

以下为上述病毒的详细危害和行为

 

1、访问任意本地文件

可能会造成重要资料（重要文案、个人照片等）的泄露。如下图所示：

 

文件访问功能

2、监控用户的键盘记录,

此功能可以记录下用户在登录各类社交平台或者网银时输入的账号密码，甚至还控制了用户的复制粘贴，严重威胁着用户的财产安全，如下图所示：

 

键盘记录制功能

 

  

获取和设置粘贴板功能

 

 

 

3、获取用户的QQ号

包括QQ好友列表以及QQ群内所有的成员信息，均属于较为敏感的个人隐私。如下图所示：

 

QQ隐私获取功能

 

 

获取QQ号功能

 

4、屏幕截图

通过频繁的截图即达到屏幕监控的效果。用户在浏览隐私信息时病毒可以通过屏幕截图的方式获取、上传用户的隐私内容，此外病毒还可以屏蔽用户对键盘和鼠标的操控。如下图所示：

 

屏幕监控功能

 

屏蔽用户鼠标键盘功能

 

5、执行任意云控指令

远程将可执行文件加载到内存中执行, 远程传输文件以不落地的方式执行, 病毒服务器可以在用户未经允许的情况在用户电脑上执行任意代码和程序，如下图所示：

 

执行任意代码功能

 

6、开放大量的系统权限，降低用户电脑的安全系数

 

远程管理windows账户

打开windows的共享服务（sharedaccess）

启用windows自带的远程桌面功能.

 

7、收集和设置用户电脑系统配置

远程对系统服务进行操作

远程对注册表进行操作

远程执行shell

远程读写hosts文件

远程获取系统已安装的软件

远程调用com组件

 

网络安全员的福利

我这离整理了 安全学习资料包（渗透工具/网络安全技术文档、书籍/最新大厂面试题/应急响应笔记/学习路线）等等