穿越火線外掛實為病毒“變形金剛” 16萬PC被感染

　　“一直都很喜歡槍戰網游穿越火線(玩家習慣縮寫為CF)，看論壇上有人說CFm4輔助插件可穿牆鑽地，就下載了用。結果沒看到輔助效果，電腦被強制安裝了一些軟件，帳號還被盜了。”游戲玩家大奔這樣描述自己的經歷。

　　金山毒霸安全專家指出，游戲玩家在提供CFm4輔助插件的網站下載的插件，實為一款技術型病毒。這種技術型病毒用多種復雜的變形手段成功逃過眾多殺毒軟件的查殺，模擬鼠標點擊安裝多款互聯網軟件，金山毒霸將病毒形象的命名為“變形金剛”。

　　圖1 偽裝成CFm4外掛“變形金山”病毒

　　據金山毒霸雲安全中心的感染統計數據，“變形金剛”病毒已經感染超過16萬台PC。檢索百度指數，發現CFm4的指數上升非常明顯，據此可推算受害玩家眾多。

　　圖2 CFm4的搜索指數增長迅速，隨之伴隨的是病毒感染量攀升

　　9月1日，兩高司法解釋強化了對病毒集團的打擊力度，病毒集團的行為也隨之發生變化。這個“變形金剛”病毒的目的就是推廣互聯網軟件，為某些商業網站刷流量來騙取推廣收入，盜號反而不是病毒的主要功能。

　　“變形金剛”病毒在技術上有很多亮點，這些技術特點使“變形金剛”病毒的生存周期大大延長。在感染16萬台PC之後，仍有多個殺毒軟件無法查殺。這些亮點包括：

　　1.URL變形：用以推廣病毒的下載鏈接快速變形，使殺毒軟件攔截有害下載地址的方法迅速失效。

　　2.文件MD5變形：下載的病毒文件快速更新，使得依賴MD5識別的殺毒軟件迅速無效。

　　3.下載一段時間後，所有惡意行為關閉：就象常見的軟件過期，令殺毒軟件難以找到病毒源頭。

　　4.利用暴風影音正常exe加載病毒DLL：病毒的執行模塊(.dll文件)由帶數字簽名的暴風程序來間接啟動，用以繞過殺毒軟件的主動防御。

　　5.模擬鼠標點擊靜默安裝好壓、酷盤、lavagame (捆綁後台安裝)：病毒的這種行為更象是用戶人為操作，使殺毒軟件的主動防御被成功繞過，病毒推廣互聯網軟件以騙取軟件推廣費，這是病毒集團獲利的重要途徑。

　　圖3 病毒模擬鼠標點擊來安裝推廣軟件，以騙過殺毒軟件的主動防御

　　6.後台開啟IE，刷流量：這是病毒的目的之一，刷流量可以騙錢。

　　7.使用修改後的fastfat.sys來加載病毒驅動程序(fastfat.sys正常情況下是Windows系統文件)，病毒用這個驅動模塊來實現自身保護，以提高被殺毒軟件清除的難度。

　　8.關機回寫：這是病毒驅動程序的特別之處，當用戶關閉電腦時，病毒的驅動程序會重新向硬盤寫入程序，以保證下次開機時，病毒程序仍能自動運行。這種方法曾經在3721這樣的流氓軟件中廣泛使用。

　　9.“變形金剛”病毒母體和一些盜號木馬捆綁安裝，以盜竊穿越火線(或其他網游)帳號密碼。

　　金山毒霸安全專家指出，這種技術型病毒，金山毒霸2012內置的K+防御可以完美攔截。一些游戲外掛使用者不顧安全軟件的安全警告執意運行“外掛”程序，結果令電腦淪陷。在電腦上“被安裝”好壓、酷盤、lavagame的玩家可下載金山頑固木馬專殺來查殺病毒。

　　圖4 金山毒霸K+系統防御可攔截“變形金剛”病毒

　　名詞：

　　穿越火線：騰訊運營的一款韓國聯網槍戰游戲，玩家一般簡稱為CF，在中國擁有大量粉絲，高峰時同時在線量達300萬人。火熱的CF網游吸引了大量開發制作外掛或輔助工具的工作室，其中混入了大量以盜號為目的的病毒，一些專門分發外掛的網站還會突然將外掛替換為病毒。