AI摘要
诺言资源网
腾讯御见威胁情报中心检测到一名为updataxx.rar的驱动型木马捆绑在流行游戏外挂中传播。该木马频繁更新躲避杀毒软件查杀,木马内置多个网址提供自更新服务。该木马的主要危害是进行主页劫持,劫持的网址列表从云端配置文件获取。但由于每次开机启动都会进行自更新,不排除后期拉取其他恶意功能的代码执行,潜在危害较大。该木马近期活跃性上升,疑与电商购物节之前劫持用户浏览器导流获利有关。
腾讯安图关联数据显示,该系列木马驱动的多个自更新网址注册时间都是2018年年底,如yun.521drive.com、go.gengxinsys.com注册时间为2018年12月;bb.niuqudong.com注册时间为2018年11月,从今年4月份开始活跃,累计已有上万台机器被感染。
该木马驱动文件具有数字签名:金华米粒网络技术服务有限公司,该签名被Rootkit病毒频繁使用,目前该签名已经失效。
备份多个地址自更新
部分自更新地址如下:
hxxp://go.gengxinsys.com/updata32.rar
hxxp://go.gengxinsys.com/updata64.rar
hxxp://my.51years.com/updata32.rar
hxxp://my.51years.com/updata64.rar
hxxp://ss.wanqudong.com/updata32.rar
hxxp://ss.wanqudong.com/updata64.rar
主页劫持
劫持主页的网址联网获取,配置文件下载地址: hxxp://ss.wanqudong.com/listh.rar,下载回来的配置文件经过了加密,解密后的网址:hxxp://www.0kl6wc.cn/,配置文件里的网址变换频繁。
解密算法:
跳转到劫持导航页,目前配置文件里劫持的导航页为游戏资讯站。
联网获取配置文件
exe特征码exeFeaturecode.rar等等。
自保护
该木马病毒通过多种方式实现自保护,包括:
注册关机回调,在关机或重启机器时重写注册表及文件,实现文件路径及服务名随机化,以加大发现查杀难度。
映像劫持,将自身文件重定向到微软正常的系统文件,查看文件信息带有微软签名。
1.游戏外挂一直都是各种顽固病毒木马传播的温床,建议游戏玩家谨慎使用。
URL:
hxxp://go.gengxinsys.com/updata32.rar
hxxp://go.gengxinsys.com/updata64.rar
hxxp://my.51years.com/updata32.rar
hxxp://my.51years.com/updata64.rar
hxxp://ss.wanqudong.com/updata32.rar
hxxp://ss.wanqudong.com/updata64.rar
dns:
go.gengxinsys.com
my.52gengxin.com
kk.yaoqudong.com
yun.521drive.com
bb.niuqudong.com
ss.wanqudong.com
my.51years.com
my.52years.com
md5:
3222e94a7ab05c57a7cb61dba8599e13
cc15f8a996c98b7068352b456e5cd06b
0be4f2cec952c23111dcaf0207e99d75
1ee408524ee39cfe64bb38b24078ddbd
7f91ed5adddfd410e25f6dfa96ca3b7d
682ddf49e615e4f761a50683c64f4cde
f534433cca7b0d5eada187f4d5ba7ffb
cd3ac5a290f7612392cb3000fea2d742
682ddf49e615e4f761a50683c64f4cde
b5c7ed1e848641e38ddebc048019de1d
5aa08f0d9dded52cba84b86be163aae6
26b285540b825050d448f4d2733b94fe
cc955b583c829e509c976dcf69c6cb5a
4b962abc70e0634ef513d7368248d33a
f534433cca7b0d5eada187f4d5ba7ffb
文章最后更新时间:2026-01-08 21:22:56若有错误或已失效,请联系客服QQ303720187或在下方
留言。
© 版权声明
THE END
![[老端]898魔域引擎架设保姆级文字,图片,视频教程-诺言资源网-官方网站](https://440my.com/wp-content/uploads/2025/07/20250910144002558-bb189280-2997-47d9-946b-7cd6940a397b.webp)
![[老端]1:100万,五虎多幻兽蜘蛛副本[版本号70001]-诺言资源网-官方网站](https://440my.com/wp-content/uploads/2025/06/20250618003821363-7c62d34f-e253-43e6-b5de-67ccf714d3e9.webp)
![MySQL 图形化工具navicat8_mysql_cs的安装,好用的数据库管理软件[带注册码]-诺言资源网-官方网站](https://exp-picture.cdn.bcebos.com/332d496699cf0253e731cc366b36e29146e85fea.jpg?x-bce-process=image%2Fresize%2Cm_lfit%2Cw_500%2Climit_1%2Fformat%2Cf_auto%2Fquality%2Cq_80)
![WinRAR5.80注册安装版[无广告]-诺言资源网-官方网站](https://440my.com/wp-content/uploads/2025/06/20250605233102460-0ebcc7d284392fb.webp)
提供安全防护和加速服务
暂无评论内容