cf三尸蠱是什么？CF三尸蠱病毒之庖丁解牛

.NET CF 3.5魅族修改版100416

• 類型：手機(jī)工具大�。�2.8M語言：中文 評(píng)分：6.8
• 標(biāo)簽：

立即下載

  電腦管家云安全中心監(jiān)測(cè)發(fā)現(xiàn)，近期一款名為“CF三尸蠱”的CF盜號(hào)木馬四處蔓延。這是一款帶驅(qū)動(dòng)的MBR型木馬，屬于遠(yuǎn)控木馬，隱藏性高、內(nèi)部瓦解、持久性強(qiáng)。黑客通過CF游戲外掛捆綁此木馬病毒進(jìn)行盜號(hào)，CF游戲玩家需要提高警惕。

       該木馬會(huì)感染系統(tǒng)文件，破壞用戶的安全軟件，收集用戶信息，修改用戶瀏覽器的主頁，連接黑客遠(yuǎn)程計(jì)算機(jī)使用戶電腦完全被黑客掌控。此外，黑客在外掛中捆綁的木馬具有較高的隱蔽性，并且能夠破壞部分殺毒軟件的云查殺功能，當(dāng)用戶出現(xiàn)賬號(hào)被盜情況之后，啟動(dòng)殺毒軟件云查殺掃描，部分殺毒軟件會(huì)出現(xiàn)連接失敗等異常情況。

       該木馬是怎樣隱藏？怎樣內(nèi)部瓦解玩家電腦的呢？讓我們一起透視它的行徑。

透視1：三重保險(xiǎn)——進(jìn)入玩家電腦

為了確保木馬成功進(jìn)入玩家電腦，黑客使用了三重保險(xiǎn)來保證木馬自啟動(dòng)成功：修改用戶系統(tǒng)的MBR即用戶硬盤的主引導(dǎo)區(qū)記錄，確保優(yōu)先注冊(cè)系統(tǒng)啟動(dòng)；感染beep.sys系統(tǒng)文件

圖1

創(chuàng)建木馬驅(qū)動(dòng)服務(wù)：釋放cp.exe(功能以mima1用戶運(yùn)行程序)和拷貝自己到C:\Temp目錄,創(chuàng)建mima1(Administrators權(quán)限)的用戶。利用cp.exe Administrators權(quán)限斷開用戶網(wǎng)絡(luò)和安裝木馬的驅(qū)動(dòng)程序。

圖2

通過 IpConfig /Release 命令斷網(wǎng)避免安全軟件的云查，斷網(wǎng)后安全木馬驅(qū)動(dòng)模塊。

透視二：注入木馬主體——散布“害蟲”內(nèi)部瓦解

通過驅(qū)動(dòng)程序來監(jiān)視系統(tǒng)中部分進(jìn)程的創(chuàng)建過程，并把safemon.dll(病毒釋放的主模塊)注入到所創(chuàng)建的進(jìn)程中。以達(dá)到從內(nèi)核全速瓦解玩家電腦的目的。過程如下：

①  釋放C:\\Windows\\System32\\safemon.dll(病毒主體文件).

②  注冊(cè)系統(tǒng)創(chuàng)建進(jìn)程通知函數(shù) PsSetCreateProcessNotifyRoutine，過濾部分進(jìn)程的創(chuàng)建行為，對(duì)①中釋放的safemon.dll進(jìn)行注入。

透視三：屏蔽安全軟件云查殺——幽禁用戶安全部隊(duì)

該木馬一手在玩家電腦內(nèi)核翻云覆雨，一手又想在電腦網(wǎng)絡(luò)只手遮天。它屏蔽了一些安全軟件的云查殺IP地址，使得安全軟件部分功能失效，無法進(jìn)行云查殺或更新。

透視四：禁止用戶瀏覽安全廠商網(wǎng)址——切斷救援

除了軟化安全軟件對(duì)自身的威脅，木馬還防止用戶自己去查詢和求救。其主體safemon.dll 會(huì)修改用戶瀏覽器主頁，過濾部分安全軟件廠商的網(wǎng)址，來禁止用戶查詢相關(guān)信息。讓用戶仿佛在一座孤島上，絕望淪為“魚肉”。

透視五：完美驅(qū)動(dòng)級(jí)隱藏——立足長(zhǎng)遠(yuǎn)包藏禍心

為了持久地破壞用戶電腦，成功遠(yuǎn)程控制，該木馬還費(fèi)盡心思，改頭換面，釋放并安裝NtHook.sys驅(qū)動(dòng)程序，主要是HOOK內(nèi)核中文件與注冊(cè)表操作函數(shù)以達(dá)到隱藏自己的目的。恣意來日方長(zhǎng)的遠(yuǎn)程連接木馬作者計(jì)算機(jī)，使用戶計(jì)算機(jī)成為“肉機(jī)”。

     綜上五種透視，CF外掛所捆綁的木馬可不亞于CF激戰(zhàn)本身。QQ電腦管家安全中心提示廣大游戲玩家，慎用外掛，安全游戲。目前電腦管家已經(jīng)成功攔截該木馬，為你的激戰(zhàn)保駕護(hù)航。