私服網遊不要亂玩，當心“雙槍”爆頭電腦秒變“殭屍”

“雙槍”木馬，是迄今為止發現的最複雜木馬之一，其幕後製作團伙更是如殺不滅的“小強”，每每都能死灰復燃高調復出。近日，360安全大腦獨家追蹤到了“雙槍”木馬團伙最新動向。不過，與以往木馬牟利方式不同，這一次“雙槍”團伙鳥槍換炮，通過開放服務管理數十萬殭屍網絡非法獲利。

感染規模超10萬，直接觸發360 安全大腦預警系統，足可見“雙槍”團伙的猖狂程度。360安全大腦在對告警域名進行解析後發現，該團伙從19年下半年，就圍繞兩個關鍵IP，啓用多個域名控制並下發惡意程序。“雙槍”團伙手中掌握着異常豐富的網絡資源，隨時可能捲土重來。目前，360安全衞士已首家支持對該惡意程序的攔截，廣大用户可及時下載安裝360安全衞士進行攔截查殺。

開放服務慘遭雙槍團伙利用，揭殭屍網絡管理新趨勢

2017年，360安全團隊首家發現“雙槍”木馬，自此該木馬幕後製作團伙就成了網絡非法“淘金”的活躍分子，異常高調地利用鎖瀏覽器首頁、彈窗廣告和推廣安裝其他惡意軟件等各種手段吸金。在此次360安全大腦捕獲的大規模活動中，雙槍木馬團伙更是將高調發揮到極致，竟開始利用起了網絡“開放服務”，下發惡意程序監管殭屍網絡。

（IOC關聯分析）

普通人廣泛使用的網絡開放服務，到了“雙槍”團伙手中，卻成了放毒的“翹板”。360安全大腦監測到，“雙槍”團伙同時利用了貼吧圖片、雲存儲託管、網絡統計等多種開放服務，分發、託管配置文件，統計管理已感染設備，為自己禍亂網絡大開方便之門。

（惡意樣本中發現的某雲服務URL地址）

這裏有必要強調的是，開放服務本身是中立的技術，慘遭“雙槍”團伙利用，完全是不法分子的蓄意行為，但也預示着未來使用開放服務管理殭屍網絡或將成為流行趨勢。鑑於上述威脅，360安全大腦立即對該惡意軟件傳播範圍進行度量監測，並在第一時間採取了有效的抵禦措施。

雙套路潛匿網絡“反追蹤”，感染數十萬終被360安全大腦截殺

從360安全大腦監測數據來看，此次感染規模之所以達到數十萬體量，關鍵就在於雙槍團伙在終端上，採取了極複雜的對抗手段以及加密通信，躲開了反病毒軟件的防護網。360安全大腦在 DNS 數據中發現惡意活動的線索，粗略推算木馬感染量達數十萬級，研判確認幕後黑手就是惡名遠揚的“雙槍”團伙。

360安全大腦在樣本分析過程中發現，“雙槍”團伙主要通過啓動器內包含惡意代碼與DLL 劫持兩種感染方式，潛藏網遊私服客户端全網擴散，這也就讓廣大網友愛好者成為了高危感染人羣。

在啓動器內包含惡意代碼的感染方式中，含惡意代碼的私服客户端啓動器會先行下載並加載cs.dll惡意文件，並上報主機信息釋放加載惡意驅動，隨後劫持系統進程，下載後續惡意程序。

（啓動器內包含惡意代碼模式中涉及的各類私服入）

（點擊下載鏈接跳到的私服主頁）

在DLL 劫持感染方式中，依然是以私服客户端為載體，但在技術細節上存在較大差異。惡意photobase.dll 文件會先釋放相應架構的惡意驅動程序，註冊系統服務並啓動，在這之後才會加載真正的photobase.dll文件。

（DLL 劫持手段中登錄器下載頁面）

（多款類似遊戲私服客户端的組件 photobase.dll 被替換成同名惡意 DLL 文件）

蓄謀已久且擁有着異常豐富的作惡資源，也就怪不得“雙槍”每每都能死灰復燃。不過廣大用户不必擔心，目前，360安全大腦已全面阻擊相關惡意代碼下載鏈接，而為避免更多用户遭遇此類威脅，360安全大腦給出如下安全建議：

1、及時前往weishi.360.cn，下載安裝360安全衞士，強力查殺此類病毒木馬；

2、對於安全軟件提示風險的程序，切勿輕易添加信任或退出殺軟運行；

3、發現電腦異常時，及時使用360安全衞士進行體檢掃描，查殺病毒木馬；

4、開啓360安全衞士“網頁安全防護”功能，辨別各類虛假詐騙網頁，攔截釣魚網站、危險鏈接，保障計算機信息安全。

5、使用360軟件管家下載軟件，360軟件管家收錄萬款正版軟件，經過360安全大腦白名單檢測，下載、安裝、升級，更安全。