某游戏外挂暗藏远程控制木马，中招玩家一切尽在黑客掌握之中

0×1 概述

腾讯御见威胁情报中心监控到一款某款名为“死神辅助”的游戏外挂内置远程控制木马。这个死神游戏外挂运行前，先欺骗诱导用户关闭杀毒软件，声称本外挂程序会被杀毒软件“误杀”。一旦游戏玩家信以为真，在关闭或退出杀毒软件之后运行死神外挂，暗藏在外挂程序包里的farfli家族系列远程控制木马就被释放运行。

当游戏玩家在电脑上运行这个名为死神游戏外挂之后，电脑即被黑客完全控制而沦为“肉鸡”。外挂程序释放的farfli家族系列远程控制木马会在内存中装载一个CMD命令控制台，可供黑客执行任何命令。

这个远程控制木马还可以监控电脑屏幕、监控麦克风、摄像头，监控中毒电脑的每一个键盘操作，远程控制电脑重启、注销或关机；远程控制中毒电脑下载安装任意程序；攻击者还可以控制肉鸡电脑发起DDoS攻击。

一句话总结：

游戏玩家一旦退出杀毒软件，运行这个死神外挂，这台电脑就不再是自己的了，游戏玩家在电脑中的一切都将暴露在黑客眼前。

0×2 死神外挂分析

这款死神外挂程序，运行后会释放出恶意木马程序。

木马流程图

释放出的木马exe经简单花指令后，执行内存装载函数，传入名为PluginMe的导出函数执行。

木马进一步在内存解密出一个PE文件

解密算法使用简单的凯撒移位+异或实现，通过内存Dump出解密文件可知为一个DLL模块，分析后可知该DLL为一个支持CMD后门、屏幕监控、摄像头监控、语音监控、键盘记录和DDoS攻击等功能的恶意远程控制木马，木马使用双C2来进行肉鸡远程操控。

键盘记录功能

屏幕信息监控

ShellExecute指定参数执行，浏览器带参指定执行

创建管道形式的CMD后门

窃取进程信息

窃取窗口信息

DDoS网络攻击

网络攻击相关代码

清除系统日志

指定提权强制关机、注销、重启

拉取云端文件下载执行

下载者功能

卸载自身功能模块文件，从此处也可知该木马还支持下发插件形式的语音、摄像等隐私窃取功能。

0×3 溯源分析

1. 作者溯源

通过搜索引擎查找关键字”死神”外挂辅助程序，可在某外挂编程论坛找到疑似作者发布的招收代理信息页面。

通过该页面留下的联系方式进一步可定位到作者QQ，个人说明为“招收全网代理”，进一步确认其作者身份。

2. 代理溯源

通过搜索引擎查找该辅助代理信息，进一步找到一个名为“ 林天科技网”的网盘地址，可发现该网盘售卖辅助品牌品类繁多，有死神科技、虐杀、瘟疫等多个“品牌”的辅助在售卖。

下载网盘中最新版的死神3.0版本，解压后打开作者留下的使用说明，可发现作者提示用户第一句话为：先关闭杀毒软件，以防止“误杀”。这显然是欺骗用户的伎俩。

实际测试网盘中的3.0版本依然会释放出名为Server.exe的恶意远程控制木马。

通过腾讯御见威胁情报中心平台查看C2地址：Ip.yototoo.com信息，可发现该C2关联到大量的恶意样本，均为后门远程控制类型。

目前暂不清楚此次木马投放行为为死神外挂的代理商所为，还是死神辅助工具作者所为。

0×4 IOCs

MD5

69197c047e2c1737c0f29b02ad0cb6ca

cbfe69aa36b3bb2b1bd9f5789013da56

0x5 安全防范建议

1.不建议游戏玩家使用外挂、游戏辅助工具等软件在游戏中作弊；

2.如果某个外挂或游戏辅助工具建议你在运行前关闭杀毒软件，小心这是陷阱。病毒木马传播者一贯用类似手段欺骗用户退出杀毒软件，这样病毒的破坏就能畅通无阻了；

3.推荐用户使用腾讯电脑管家拦截假冒游戏外挂或游戏辅助工具的病毒木马。