فقط في الماضي "51" عطلة صغيرة، والمواقع السياحية الكبرى "ارتفاع" بحر من الناس، ويفترض الكثيرون يختارون البقاء في مباريات الاياب اللعب، واللاعبون هم سعيد أنهم هربوا دون أن يصاب بأذى. ومع ذلك، فإنه قد اللاعبين يست في الواقع سلام اللعبة في العالم، وذلك قبيل عطلة، مما أسفر عن مقتل 360 وأمن الدماغ اعتراضها من قبل لعبة "علب 3" خريطة انتشار الديدان الجديدة، اختار مرة واحدة في منصة لعبة خريطة مع دودة ودودة، يصيب لاعبي الكمبيوتر.

علب الخريطة أو موضوع تورط

ومن الجدير بالذكر هو مواجهة خطر الدودة، والغالبية العظمى من اللاعبين لا يمكن أن نقلل من قدرة عدوى الفيروس. ووفقا لتأسيس 360 تتبع الأمن الدماغ، ودودة بعد الغزو تنجح، وسوف مزيد تصيب الآخرين العادية اللعبة خريطة علب لاعبين في. وهذا يعني أنه إذا كنت لا تعرف الذي سمم شريك صغير، ولكن أيضا أدعوكم لفتح أدوار مجموعة السوداء، عندما تحصل في غرفة اللعبة، وسوف الخريطة متابعة هذه الخطوة. إذا كان الأمر كذلك فإنه لم يقتل على الفور الفيروس في أقصر وقت ممكن تسبب العدوى على نطاق واسع.

التتبع من خلال عمق التحليل، وجدت أن C & C الكتاب دودة نطاق استخدام الكلمات مع lucky2048، لذلك هذه الدودة اسمه "الديدان لاكي". 360 المراقبة الامنية بعد المخ لهذا الفيروس الجديد كان، وهي المرة الأولى لتحقيق عملية قتل شامل، وذلك "لاكي دودة" في النشاط خلال ساعات الذروة يلعب لعبة عطلة عيد مايو من هذا المستخدم أن يكون انخفاض واضح جدا.

دودة الحظ سير العمل العام

القاموس الحر "دودة" تحليلا شاملا للالهجمات الأم

ويتمحور على المصابة "الأخضر دائرة برج الدفاع الممالك الثلاث" خارطة النحو التالي، حيث يتم إدراج السيناريو الرئيسي "war3map.j" إلى رمز لتنفيذ البرنامج النصي الزناد جزءا لا يتجزأ من "initrb" ( "File00000028.xxx")، والسيناريو الذي يجري علب الخريطة باستخدام استغلال رمز إلى وظيفتها الرئيسية هي لاطلاق سراح وتنفيذ دودة حدة الحظ "MX.txt" ( "File00000029.exe"، هو في الواقع برنامج DLL).

يتم إدخال نصي "war3map.j" في نهاية المهمة الرئيسية رمز الدعوة، وتستخدم لتنفيذ "initrb" استغلال كود:

"Initrb" شفرة الهجوم عيب في وقت مبكر من العام الماضي، تم الكشف عنها علنا من قبل، ولكن الآن هم مجرمون تستخدم لالديدان انتشار الحصول على "الدجاج" (المرجع: "hxxps: //www.52pojie.cn/thread-718808-1 -1.html "). رمز هو أساسا استخدام متغير النصي ثغرة نوع التحويل لتحقيق ذاكرة عشوائية القراءة والكتابة، ثم خطف 3 علب البرنامج الرئيسي لتشغيل وحدة تحميل دودة "MX.txt".

يتم تشكيل الضعف عند المتغيرات العالمية النصي والمتغيرات المحلية التي تحمل الاسم نفسه، ومتغير عمومي يتحول إلى المتغيرات المحلية، مما أدى إلى تحويل مؤشر متغير إشارة العالمي تعرضت لحادث. أصبح التالية متغير صفيف عدد صحيح العالمية "الذاكرة" إعادة تعريف في سياق وظيفة متغير صحيح المحلي، مما أدى إلى متغير عمومي "الذاكرة" عنوان يصبح 0، حتى أن عملية يمكن الفضاء مؤشر كل مجموعة عنوان الذاكرة، وزيادة مع لتحقيق قراءة الذاكرة التعسفية والكتابة.

يؤثر ضعف "علب 3" إصدارات متعددة من التاريخ، جعلت شفرة الهجوم أيضا اختبار التوافق المقابلة.

وحدة الديدان "MX.txt" هو إضافة برنامج DLL حجة قوية لحماية VMP، كان "علب 3" لعبة بعد عملية عملية التحميل، ويتم تقسيم العمل الرئيسي إلى ثلاثة أجزاء، والتي مصابون خريطة علب عادية وتركيب دائم من الباب الخلفي والتحكم عن بعد.

1 خريطة العدوى

الدودة في خريطة الافراج عن المستخدم المصاب العادي الأول من علب شكل "MPQ" ملفات مكتبة API "SFmpq.dll"، استخدم ملف يمكن أن تعمل بسهولة "MPQ" خارطة الموارد الشكل.

ثم انتقل إلى "علب 3" للعثور على جميع "* .w3x" خارطة شكل دليل خريطة تحت مسار التثبيت واستخدام API مكتبة MPQ على التعامل مع هذه الخرائط ملفات البرامج النصية الموارد الداخلية.

النوع الرئيسي من الخريطة لتشغيل الملف النصي هو "war3map.j"، ثم الدودة سوف تجد موقع البرنامج النصي، وعلى استعداد لإدراج رمز ودودة البرنامج نفسه استغلال.

العثور على "war3map.j" وتتمثل المهمة الرئيسية للموقف الذيل، ومن ثم إدراج خط استدعاء التعليمات البرمجية لإجراء حقيقي استغلال النصي "initrb"، ثم إضافة المدمج في "initrb" النصي إلى ملف خريطة الهدف، رمز البرنامج النصي يتفق مع ما سبق.

بالإضافة إلى البرنامج النصي استغلال، أيضا إضافة الدودة الأم نفسها في خريطة الهدف، وتكرار الذات.

2، وتركيب الباب الخلفي المستمر

ويستند هذا استمرار الفيروس الدودة بشكل رئيسي على السيطرة سحابة الشبكات التكوين لتحميل الصور من خلال عمليتين، وكذلك إلى وحدة فك الباب الخلفي المثبتة على الكمون نظام المستخدم.

سحابة التخزين عنوان التحكم الذي تم تكوينه مع ثلاثة (وآخرها تلك التي لا يمكن الوصول إليها)، وربط "hxxp: //umsdfyuwlp.tk"، عندما يكون عنوان منفذا عاديا ينبغي أن تبدو هذه:

ومع ذلك، نظرا لسرعة انتشار عدوى دودة سريعة جدا، وربما المؤلف نفسه لم يفكر هذا الخادم قريبا تحمل الوصول إلى مئات الآلاف من طلبات، وبالتالي فإن الخادم العادي عاد إلى النتائج التالية:

ولكن لم الاعتبار، هذا الخادم إلى التعامل معها، ومع ذلك، الفيروس الكتاب لإعداد استخدام بارع آخر من المرافق العامة عنوان خدمة "hxxps: //lucky2048.github.io"، منذ هذا العنوان هو الملقم بلوق جيثب خصيصا للمستخدمين الفرديين من ، ويأتي مع الموازنة، لم يعد لديك ما يدعو للقلق "الدجاج" الكثير من الأسئلة حول الحصاد.

بعد الحصول على التكوين السيطرة على هذه الغيوم، وتجزئة وفك شفرة أخيرا الحصول على حقول معلومات الثلاثة التالية، وبما في ذلك عنوان بروتوكول الإنترنت تحميل صورتين، صورتين حيث يرتبط عنوان المدرجة في هذا القسم لاستمرار وحدة، وعنوان IP تحت الأولى وظائف التحكم عن بعد.

عندما تم الكشف عن الفيروس في وحدة باب النظام مرة أخرى لا وجود لها، وسوف تحميل "1.gif الحالة" المقابلة أو صورة "2.gif" ليتم تثبيتها. كل بيانات الصورة هي في ذيل إرفاق ملف PE مضغوط، وتنظيم تنسيق البيانات يستخدم شائعة جدا الروتينية حصان طروادة: "صورة بيانات" + "0x033E0F0D" شعار رئيس + "مضغوط طول البيانات" + "بيانات zlib ضغط."

بعد وحدة "1.gif الحالة" الصورة فك هو متنكر باسم "ويندوز ميديا بلاير" الباب الخلفي، بعد أن وجد التحليل أن وظيفة الحالية لهذه الوحدة هي الأساس يتزامن دودة مع الأم، ولكن خريطة أقل الوظيفية من حيث العدوى علب . وحدة مرئيا تحت الباب الخلفي متنكرا في زي برنامج "ويندوز ميديا بلاير" واقامة مخفي و الذاتي بدءا.

"2.gif" وحدة بعد الصورة يتم الحصول عليها عن طريق استخراج أم الدودة نفسها، ونسخ في نهاية المطاف إلى جيل علب من العالم دليل التثبيت "war3 * .flt" (* أحرف عشوائية)، وعندما تم الكشف عن أن الدليل غير موجود سوف ملفات FLT يكون إعادة تركيبها. السبب هو لأن FLT ملف اسمه "3 علب" War3.exe الرئيسية سوف تحميل تلقائيا عند بدء تشغيل "* .flt" المكونات في وحدة في الدليل.

بالإضافة إلى الدودة الأم ستفرج محمل "RUNDLL * إكس" إلى العالم من علب دليل التثبيت المقبل، وتتمثل المهمة الرئيسية للمحمل هي في الواقع مجرد تحميل وتشغيل الوالد الدودة نفسها، بدعم من تشغيل المستمر في نظام المستخدم.

3، التحكم عن بعد

فك التشفير عن بيانات التحكم تكوين سحابة في الحقل الأول، يتم فك بيانات التكوين الحالي سلسلة "999"، ولكن بعد تحليل الحقل تعامل على أنها عنوان IP للاتصال بخادم التحكم عن بعد، ولكن في الوقت الحالي هذا العنوان غير صالح.

استخدام عنوان بروتوكول الإنترنت بالإضافة إلى رقم المنفذ ثابت "19730"، لبناء عنوان هيكل المعلمات ربط جهاز التحكم عن بعد من خادم، ولكن لأن عنوان IP "999" التي تقودها صالح إلى النجاح الحالي لا يمكن الاتصال، ولكن يمكن تغيير مؤلف في أي وقت على جيثب تكوين لنقل المحصول من هذه "الدجاجة".

في حال نجاحها على الخط، جهاز التحكم عن بعد غير متزامن في عملية تدفق رمز التحكم، كما شهدت مع "1001"، "1002" وافر من رموز التحكم العملية.

بعد الانتهاء من التصحيح وظيفة تحليل قائمة التحكم عن بعد أدناه، وجدت لتكون مبسطة جدا "نسخة مصغرة" للتحكم عن بعد، ولعل المؤلف خفية الدوافع، سوى عدد قليل من وظائف التحكم محددة.

حالة الديدان استغلال نقاط الضعف المعروفة العميل عبة للانتشار على نطاق واسع مستتر طروادة، المستخدمين قد لا يكون أي لعبة دفاعية في السياق الطبيعي لممارسة اللعبة على غير وعي في هذه الخطوة، وسوف فيروس يصيب مبادرة أخرى خرائط لعبة عادية، تأخذ زمام المبادرة لانتشار انتشار، وزيادة كبيرة للمستخدم سرعة اللعب تصيب بعضها البعض. بعد الافراج عن القبض على فيروس مستتر برنامج التحكم عن بعد المثبتة على جهاز المستخدم، ثم انتظر الوقت قد حان سوف تكون قادرة على السيطرة على الآلاف من "الدجاج" عن طريق تعديل تكوين المستخدم على المرافق العامة على جيثب.

وبعد فيروس WannaCry باستخدام الابتزاز "الخالدة الأزرق" ضعف الأسلحة النووية بعد اندلاع نطاق واسع في العالم للدماغ 360 الأمن اعترضت مرة أخرى على نحو مماثل انتشار واسع النطاق للعدوى من خلال الثغرات من الأسلحة النووية "آكي" دودة. قراصنة استغلال نقاط الضعف المعروفة علنا هجمات الكترونية على نطاق واسع وأصبح المعيار الجديد للأمن، وإن كان في حالة الحصاد على نطاق واسع لم اعترضت "الدجاج" مستخدم بنجاح قبل التسبب في مزيد من الضرر، ولكن ليست آمنة التراخي، تشير إلى أن غالبية مستخدمي الإنترنت في الوقت المناسب وبرامج الحماية الفعالة تثبيت لمنع المزيد من الخسائر.

شركات النفط العالمية

* المؤلف: 360 الأمن، وأعيد طبعه من FreeBuf.COM