晴天国体追踪8.0下载穿越火线外挂实为病毒“变形金刚” 16万PC被感染

“一直都很喜爱枪战网游穿越火线(玩家习惯缩写为CF)，变形金刚看论坛上有人说CFm4辅助插件可穿墙钻地，火线就下载了用。外挂万结果没看到辅助效果，病毒C被电脑被强制安装了一些软件和平精英辅助，感染帐号还被盗了 。变形金刚晴天国体追踪8.0下载”游戏玩家大奔这样描暗区突围自瞄设置述自己的火线经历。

金山毒霸平安专家指出
，外挂万游戏玩家在提供CFm4辅助插件的病毒C被网站下载的插件，实为一款技术型病毒 。感染这种技术型病毒用多种繁琐的变形金刚变形手段胜利逃过众多杀毒软件的查杀
 ，模拟鼠标点击安装多款互联网软件，火线金暗区突围自瞄设置山毒霸将病毒形象的外挂万命名为“变形金刚”。

图1 伪装成CFm4外挂“变形金山”病毒

据金山毒霸云平安中心的病毒C被感染统计数据
，“变形金刚”病毒已经感染超过16万台PC。感染检索百度指数 ，发现CFm4的地铁逃生开挂神器指数上涨非常明显暗区突围自瞄设置 ，据此可推算受害玩家众多。

图2 CFm4的搜索指数增长迅速 ，随之伴随的是病毒感染量攀升

9月1日，两高司法解释强化了对病毒集团的打击力度
，病毒集团的行为也随之发生变化 
。这个“变形金刚”病毒的目的就是推广暗区突围自瞄设置互联网软件 ，为某些商业网站刷流量来骗取推广收入，盗号反而不是pubg地铁逃生透视病毒的主要功能。

“变形金刚”病毒在技术上有很多亮点，这些技术特点使“变形金刚”病毒的生存周期大大延长 。在感染16万台PC之后，仍有多个杀毒软暗区突围自瞄设置件无法查杀
。这些亮点包括：

1.URL变形
：用以推广病毒的下载链接迅速变形，使杀毒软件拦截有害下载地址的方法迅速失效 。

2.文件MD5变形 ：下载的病毒文件迅速更新，使得依赖MD5识别的pubg地铁逃生辅助杀毒软件迅速无效 。

3暗区突围自瞄设置.下载一段时辰后 ，所有恶意行为关上 ：就象常见的软件过期，令杀毒软件难以找到病毒源头 。

4.利用暴风影音正常exe加载病毒DLL：病毒的实施模块(.dll文件)由带数字签名的暴风程序来间接启动，用以绕过杀暗区突围自瞄设置毒软件的主动防御 。

5.模拟鼠标点击静默安装好压、酷盘、lavagame (捆绑后台安装)：病毒的和平精英加速辅助器(免费)这种行为更象是用户人为操作
，使杀毒软件的主动防御被胜利绕过，病毒推广互联网软件以骗取软件推广费，这是病毒暗区突围自瞄设置集团获利的关键途径。

图3 病毒模拟鼠标点击来安装推广软件，以骗过杀毒软件的主动防御

6.后台开启IE，刷流量：这是病毒的目的之一
，刷流量可以骗钱。

7.使用修改后的地铁逃生dy免费直装fastfat.sys来加载病毒驱动程序暗区突围自瞄设置(fastfat.sys正常情况下是Windows系统文件)，病毒用这个驱动模块来实现自身保护，以提升被杀毒软件清除的难度。

8.关机回写：这是病毒驱动程序的特别之处，当用户关上电脑时，病毒的驱动程序会暗区突围自瞄设置重新向硬盘写入程序，以保证下次开机时暗区突围科技 ，病毒程序仍能自动运行。这种方法曾经在3721这样的地铁逃生毒蛇3.0辅助器流氓软件中广泛使用 。

9.“变形金刚”病毒母体和一些盗号木马捆绑安装 ，以盗窃穿越火线(或其他网游)帐号暗区突围自瞄设置密码。

金山毒霸平安专家指出，这种技术型病毒，金山毒霸2012内置的K+防御可以完美拦截。一些游戏外挂使用者不顾平安软件的平安警告执意运行“外挂”程序 ，结果令电脑沦陷。在电脑上“被安装”好压 、PUBG地铁逃生直装酷盘、la暗区突围自瞄设置vagame的玩家可下载金山顽固木马专杀来查杀病毒 。

图4 金山毒霸K+系统防御可拦截“变形金刚”病毒

名词 ：

穿越火线 ：腾讯运营的一款韩国联网枪战游戏，玩家一般简称为CF，在中国拥有大量粉丝 ，高峰时同时在暗区突围自瞄设置线量达300万人  。火热的CF网游吸引了大量开发制作外挂或辅助工具的工作室，其中混入了大量以盗号为目的地铁直装免费的病毒，一些专门分发外挂的网站还会突然将外挂替换为病毒 。

免责声明 ：本网部分内容及图片来源于互联网 ，不暗区突围自瞄设置作商业用途，如侵犯了您的权益，请来函告知，我们将在48小时内删除 。

最新评论