今天火絨發(fā)布技術(shù)分析，稱QQ音樂(lè)遭遇“白加黑”利用，網(wǎng)站被劫持推廣傳奇私服。

　　火絨表示，近期火絨威脅情報(bào)中心監(jiān)測(cè)到QQ音樂(lè)目錄下存在異常進(jìn)程自啟現(xiàn)象，經(jīng)溯源分析，確認(rèn)該進(jìn)程文件為2021年版本的QQMusic.exe文件。

　　九游娛樂(lè)品牌介紹

　　攻擊者利用“白加黑”技術(shù)加載惡意DLL文件，解壓出劫持網(wǎng)頁(yè)模塊，隨后安裝用于劫持網(wǎng)頁(yè)的惡意驅(qū)動(dòng)，最終達(dá)成將指定網(wǎng)址劫持至私服發(fā)布頁(yè)面的攻擊目的。

　　此外，該惡意驅(qū)動(dòng)還可檢測(cè)ARK工具驅(qū)動(dòng)，并對(duì)其進(jìn)行斷鏈以隱藏自身驅(qū)動(dòng)，同時(shí)對(duì)安全軟件的通信進(jìn)行干擾。

　　初始階段：樣本首先釋放并運(yùn)行原始文件，即傳奇私服程序，隨后下載配置文件并檢查指定文件和注冊(cè)表決定進(jìn)入哪條分支。

　　下載劫持模塊：第一分支和第二分支負(fù)責(zé)下載劫持模塊，盡管第三分支由于無(wú)法成功下載文件，所以火絨無(wú)法確切判斷它是否也會(huì)執(zhí)行下載劫持模塊的操作，但在分類上依然將其歸到這一階段當(dāng)中。

　　目前，火絨安全產(chǎn)品可對(duì)上述病毒進(jìn)行攔截查殺，感興趣的可以前往查看完整 分析過(guò)程 。