网络安全
首页 > 安全文摘 > 网络安全> 正文

利用《魔兽争霸3》漏洞传播的“萝莉”蠕虫分析

近日,腾讯电脑管家发现一个可疑脚本被创建为启动项,通过分析和搜索相关信息,发现大量网友反馈,重现了中毒场景。

作者:blackhold来源:www.freebuf.com|2016-11-21 14:58:14

近日,腾讯电脑管家发现一个可疑脚本被创建为启动项,通过分析和搜索相关信息,发现大量网友反馈,重现了中毒场景。该蠕虫传播原理如下:

1,    蠕虫作者上传带蠕虫的魔兽地图,并以该地图创建房间吸引其他玩家进入房间游戏;

2,    玩家进入房间后,就会自动下载该地图,并进行游戏后,触发魔兽地图里恶意脚本。脚本利用漏洞成功在启动目录创建loil.bat脚本文件;

3,    当玩家重启电脑后,Loil.bat获得执行,通过脚本下载loli.exe执行;

4,    Loli.exe把玩家魔兽目录下的正常地图文件全部感染植入蠕虫。玩家在不知情的情况下,会使用这些被感染的地图创建游戏,感染更多玩家;

5,    接着loli.exe释放魔兽插件War3_UnHack.asi。每当魔兽启动时,会自动加载该插件;

6,    玩家每次启动魔兽后War3_UnHack.asi获得执行权,又重新下载loil.exe蠕虫,使得该病毒难以删除。


详细的漏洞原理,可参照: http://tieba.baidu.com/p/965868161?pn=1

“萝莉”蠕虫详细分析

一、整个蠕虫的大致运行流程如下图:

1、    魔兽争霸3游戏地图文件由多个部分组成,其中地图里的逻辑控制代码部份由war3map.j控制。该脚本文件由魔兽争霸3程序语言JASS编写而成,是地图文件里最重要部份之一。

2、地图中的脚本war3map.j文件被植入恶意脚本,该恶意脚本利用JASS写文件漏洞,在游戏开始后,创建loli.bat文件到系统启动目录里。当玩家第二天重新启动电脑后,该bat文件就获得执行机会。

3,loli.bat的功能是将脚本代码写入到 loli.vbs 文件中,loli.vbs是经过加密处理,解密后的loli.vbs,其功能是下载一个loli.bat到c:\loli.bat

下载下来的c:\loli.bat经过混淆处理,包括在文件头部添加unicode标识使得用文本编辑器打开后呈现乱码,其功能是删除c:\loli.vbs,并创建c:\loli.vbe

c:\loli.vbe经过编码,解码后代码如下图所示

解密后的c:\loli.vbe脚本内容如下,其功能是下载loli.exe运行

二、loli.exe主要负责下载安装游戏的蠕虫插件,感染玩家正常地图文件植入恶意脚本

1、下载插件(War3_UnHack.asi)。该插件会随着魔兽争霸的启动而加载运行。主要用作下载木马,发布垃圾消息等。

2、删除loli.bat文件

3、修改魔兽争霸w3x格式的地图文件里的脚本控制模块war3map.j植入恶意代表码,导致该蠕虫可能在玩家之间大量传播。

                                    (玩家正常地图文件被植入恶意脚本)

三、War3_UnHack.asi行为

通过把该文件放到魔兽争霸redist\miles目录下即可完成安装。War3.exe每次启动就会加载该蠕虫插件。

该蠕虫会下载恶意程序执行。

在玩家游戏时,会调用jass函数自动发布广告。

腾讯电脑管家首发受感染地图修复工具,点击这里下载

【责任编辑:blackhold 】

分享:

安全快讯+更多

湖南青年杨某沉迷“黑客”技术,利用国外网络攻击网站的攻击服务,花钱请人开发成软件后,通过QQ群推销,并发展代理商销售,8个月内获利数万元。
6月13日,由赛可达实验室、国家计算机病毒应急处理中心、国家网络与信息系统安全产品质量监督检验中心、首都创新大联盟共同举办的第五届中国网络安全大会(NSC2017)在北京国家会议中心隆重举行。
《中华人民共和国网络安全法》已于6月1日正式实施并成为我国网络空间法治建设的重要里程碑,在确立安全在整个信息系统建设中的核心和关键地位的同时,也对保护公众个人信息安全起到了积极作用。
Shadow Brokers(影子经纪人)回应想哭勒索蠕虫事件,同时公布了一个月度销售计划,称自6月开始,每个月都有高危0day、黑客工具、机密数据售卖。
勒索病毒“WannaCry”(永恒之蓝)在全球范围内的爆发,恐怕是这几天影响力最大的公共安全事件了。