{
	"id": "1c0790db-8510-4498-8997-6b9b9c0b3b6d",
	"created_at": "2026-04-06T00:09:45.420096Z",
	"updated_at": "2026-04-10T13:12:20.377322Z",
	"deleted_at": null,
	"sha1_hash": "9348bfba693c90bdd10e2972c377a5722da98c39",
	"title": "游戏安全实验室 游戏漏洞 外挂分析",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 248083,
	"plain_text": "游戏安全实验室 游戏漏洞 外挂分析\r\nBy Discuz! Team and Comsenz UI Team\r\nArchived: 2026-04-05 22:36:51 UTC\r\n概况\r\n以《传奇》为代表的各大游戏私服非法运营活动长期泛滥，在国内游戏地下黑产圈内堪称独树一帜，围\r\n绕游戏暴利的争夺导致各大私服运营者之间斗争加剧，频繁利用网络劫持、DDOS等技术手段进行”攻城\r\n掠地”，所以私服客户端一直都是顽固病毒家族繁殖传播的沉疴宿疾。为了对抗竞争者、外挂和安全厂\r\n商，私服客户端经常捆绑各类Rootkit/Bootkit类顽固病毒，并且盗用冒用正常软件数字签名逃避查杀防\r\n御，采用VMP等虚拟机强壳保护对抗分析。作为刚性强需求，普通游戏用户会往往无视安全软件查杀拦\r\n截提示，反而主动放行恶意驱动模块的加载，最终导致网络浏览异常、系统蓝屏崩溃、感染盗号木马等\r\n严重安全后果。\r\n近期，毒霸安全团队通过“捕风”系统再次监测到一类劫持Rootkit病毒家族的活跃迹象，该病毒家族主要通\r\n过各类私服客户端进行捆绑传播，主要通过TDI过滤、DNS劫持、HTTP(s)注入、HOSTS重定向等技术手\r\n法篡改用户系统网络数据包，将正常网页访问劫持引流至指定私服网站，并利用安全软件云查杀数据包\r\n屏蔽、关机回调重写等手段实现对抗查杀，此外，该家族还针对私服运营竞争对手常用的病毒驱动签名\r\n进行屏蔽对抗，实现长期稳定劫持控制用户的目的。\r\n根据其模块pdb路径中的项目名称”fk_undead”，我们将其命名为” 亡灵 ” 家族。 从我们的长期监控数据\r\n看，该家族近两年非常活跃，从2017年初开始盗用正规厂商数字签名频繁变种传播，本次变种版本最早\r\n出现于2018年10左右，目前该家族呈现活跃趋势，全网累计感染量预估超过50万。\r\n技术分析\r\n该病毒的主要运行流程如下：\r\n病毒驱动从恶意传奇私服客户端层层释放而来，根据系统版本的不同，最终释放不同的驱动文件，我们\r\n以其中一个样本为例。\r\n用户打开传奇私服客户端之后，程序释放ntprint.exe到TEMP目录下，ntprint.exe主要负责上报相关配置信\r\n息到指定服务器，上报完成后会下载http://183.2.193.147:11153/msvcdlx*.dat到本地，而这个msvcdlx*.dat又\r\n会下载4个驱动文件到本地，这4个驱动文件的大致用途如下：\r\n（1）mstxdlx*.dat\r\nhttps://gslab.qq.com/article-663-1.html\r\nPage 1 of 6\n\n以64位系统下释放的驱动（mstxdlx64.dat）为例，它主要的作用是通过劫持用户电脑的网络以及篡改相关\r\n系统配置，从而达到拦截杀软云查询以及劫持HTTP的正常访问，具体实现方式如下：\r\nA、注册TDI回调函数，过滤收发包\r\n病毒驱动加载后，对TDI_SEND和TDI_SET_EVENT_HANDLER进行了处理，前者主要是负责网络数据的\r\n发包，后者则是负责对接收到网络数据进行处理，对这两个地方进行过滤处理之后，带来的效果就是访\r\n问A域名，实际打开的却是B网站。\r\n在TDI_SEND中，通过检测360与其云端的通讯时的关键字段“x-360-ver:”，中断云查询，从而造成云查杀\r\n的失效：\r\n在TDI_SET_EVENT_HANDLER中，收到符合规则的请求响应数据后，病毒直接修改数据包，嵌入相应\r\n的HTML框架代码进行劫持，劫持后效果如下：\r\n以下则是被篡改插入的数据包代码：\r\nB、 设置IE代理，劫持HTTP访问\r\n通常在设置了TDI过滤之后，就已经实现对网络的全局管理了，而设置IE代理的目的，猜测是为了在病毒\r\n驱动被杀软清理后，依旧能够长期劫持网站访问所用。\r\nIE的代理配置信息由云端实时下发，相关配置文件下载地址为106.14.47.210:11054/paclist.dat，可根据需\r\n要，实时变换文件内容，文件中的内容为BASE64加密后的信息，解密后为\r\npall.ndypkh.com:50511/auto11037.pac：\r\n链接指向一个混淆后的pac脚本文件，去混淆后内容包含大量私服网站的URL信息，当程序使用IE的代理\r\n设置，并且访问到列表中的网站时，就会被统一劫持跳转至114.55.234.27:10000（kusf.com）：\r\n根据对劫持名单的梳理，除去私服网站，被劫持跳转的部分主流网站还有：\r\nC、创建关机回调，劫持DNS和自更新\r\n在关机回调中，该病毒驱动主要做了劫持DNS和自更新这两件事情。\r\nhttps://gslab.qq.com/article-663-1.html\r\nPage 2 of 6\n\n通过访问106.14.47.210:11054/dnlist.dat下载劫持的DNS配置信息，然后在关机回调中设置电脑的DNS，从\r\n而完成DNS的修改劫持，虽然目前被修改的DNS是正常的，但由于此配置信息由云端下发，所以不排除\r\n后期病毒作者会设置恶意的DNS配置信息：\r\n接着，病毒又会访问120.77.36.184:11054/mstxdlx64_up.dat，下载最新版本的驱动文件，并且随机命名保\r\n存，然后以服务的方式在下次开机时自启动，完成更新：\r\nD、 创建映像加载回调，拦截其它病毒运行\r\n在映像加载回调中，为了确保被感染的电脑能够被自己成功劫持，当检测到当前加载的是驱动程序时，\r\n还会对比签名是否为黑名单中的签名（黑名单从106.14.47.210:11054/bctlist.dat下载而来），若符合拦截规\r\n则，则直接禁止加载，黑名单中的驱动签名如下，这些签名大多曾被同类型病毒盗用过，用来给自身恶\r\n意程序签名：\r\nE、 创建注册表回调，保护自身启动\r\n在注册表回调中，若发现有对IE代理设置和驱动服务类注册表项的操作，则直接拒绝访问，防止相关注\r\n册表项被修改。\r\n除此之外，病毒还会循环枚举注册表回调函数的地址，若检测到被删除，则会再次注册回调函数，这么\r\n做为了防止用户利用pchunter之类的ARK工具对回调函数进行删除操作，使病毒难以被手动清除。但如果\r\n是病毒程序自身升级需要修改相关的注册表项时，则会利用开关标记来暂停对相关注册表项的保护。\r\nF、 下载配置信息，实时更新劫持信息\r\n上述的整个劫持的流程，无需与3环进程交互，完全由0环的驱动实现，而相关的配置信息，也统一从远\r\n程服务器下载，具体的配置文件信息如下：\r\n（2）msdvdlx*.dat\r\n该驱动加载后，会在下次开机时，劫持svchost进程对本地hosts文件的访问，本地hosts的基本作用是把一\r\n些常用的域名和IP关联起来，当用户输入一个网址时，会先从本地的hosts文件寻找对应的IP，从而加速解\r\n析的速度，但如果劫持了本地hosts文件的话，就可能返回错误的IP地址。\r\n该病毒驱动主要通过注册一个关机回调函数，在该回调函数中加载释放netmsvc.dll到system32目录下，然\r\n后注册NetMSvc这个服务项，以确保之后每次开机都能正常加载这个DLL。而netmsvc.dll又释放驱动\r\ncbfltfs3.sys到了TEMP目录下，这个cbfltfs3.sys是Callback Technologies公司提供的一个的文件过滤器驱\r\n动：\r\nhttps://gslab.qq.com/article-663-1.html\r\nPage 3 of 6\n\n其封装了大量的文件操作API供使用者使用，在netmsvc.dll中，通过添加对hosts文件的拦截规则，即：当\r\nsvchost进程访问etc目录下的hosts文件时，则会重定向到ringend.mid：\r\nringend.mid这份劫持名单，由netmsvc.dll从http://106.14.47.210:11153/hstslist.dat下载而来，伪装成系统声音\r\n文件保存在C:\\Windows\\media\\下，其内容则是被劫持的域名和要跳转到IP，部分会被劫持的网站截图如\r\n下：\r\n当访问的正常网站被劫持后，访问到的结果如下：\r\n而msdvdlx*.dat自己也会实时从120.77.36.184:11153/msdvdlx32_up.dat下载更新，升级自身：\r\n（3）mshsdlx*.dat\r\n该驱动主要用于安装根证书，从而劫持使用了HTTPS的网站。\r\n驱动加载后，会释放证书文件到c:\\Windows\\SSL下并安装，释放出来的Sample CA 2.cer是一个根证书，会\r\n以受信任的根证书颁发机构形式安装到系统中，这一步主要是为了后续在对HTTPS网站进行劫持时，浏\r\n览器不会发出警告，而这也是常见的中间人攻击的方式。\r\n相关的劫持列表信息会从http://106.14.47.210:11153/nflist.dat下载，之后访问未被劫持HTTPS网站时，会发\r\n现证书为：\r\n而当你访问被劫持的HTTPS网站时，则会在网页中插入跳转代码，跳转到设置好的私服页面，被劫持的\r\n部分规则如下：\r\n（4）msadsdlx*.dat\r\n该驱动会下载运行msadapdlx*.dat，由于下载链接已失效，暂不清楚具体行为，不过根据PDB的名称\r\nfk_adswindll*.dll，猜测可能用于广告目的。\r\nIOC\r\nhttps://gslab.qq.com/article-663-1.html\r\nPage 4 of 6\n\nPDB信息：\r\nD:\\Work\\git\\driver\\fk_undead\\tempobj\\rel_x64\\fk_drv64\\fk_drv.pdb\r\nD:\\Work\\git\\driver\\fk_undead\\tempobj\\rel_x32\\fk_maindrv\\fk_maindrv.pdb\r\nD:\\Work\\git\\driver\\fk_undead\\tempobj\\rel_x32\\fk_svcsdll\\fk_svcsdll.pdb\r\nfk_adswindll32.pdb\r\nfk_netfltdll32.pdb\r\nMD5：\r\n4889063c79d1f020a6e66a5bbbc67a7a\r\nd13663cacf144c64d2ec5ec9e17cc4e4\r\nd46df4bc4b5ef88c96be76f22556b3cd\r\nb69c1f02c9b5591ddf6396d220055e16\r\n98fc3fc117ca3f20366a1cf06b985854\r\n5a15eb8a362c1d409b9ebe1715bf0999\r\nec617ac421207c8decb7dc329e2ec4ec\r\n9a10a008e479ce7cf9f4539ec5345a93\r\n4bea9b46142e24ea8b15a645773a094a\r\nd8decc0b64f8c34490b43f1a748e2ce5\r\n73c3dc37a7ff5ea5c2ae8834a504e748\r\n83505258cd10da2080e33fd995b18e86\r\n852fc34ab0ffc0596ab4ce2527e5ecfa\r\n79b3189e2f1e9c7583523aa905f05777\r\n549b186ead42123725b157346b025159\r\n40d94961bddb12d06ea324a52e6a3248\r\n7774822f89a5ae69e4dc4a8eee1b0141\r\nc7304f07edee09f6235c125bb5588c8d\r\ne20e9605e09c4145ead51af16415f2af\r\nhttps://gslab.qq.com/article-663-1.html\r\nPage 5 of 6\n\na811f6d783c2cdca2b8dc488369bf05e\r\nfccdf8b186b420fe45bd8d829011d45f\r\n1489fc0e1c5bca573ac35a1a19930f06\r\n域名信息：\r\ndlx.qyrgy.com\r\ndlx1.qyrgy.com\r\n183.2.193.147\r\n106.14.47.210\r\n120.77.36.184\r\n180.76.235.211（酷搜服 kusf.com）\r\nssyl.jbjfrx.com:31355\r\n182.61.55.53:82/index2.html\r\n原文来自：Freebuf-安全豹\r\n原文链接：https://www.freebuf.com/articles/system/198869.html\r\nSource: https://gslab.qq.com/article-663-1.html\r\nhttps://gslab.qq.com/article-663-1.html\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://gslab.qq.com/article-663-1.html"
	],
	"report_names": [
		"article-663-1.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434185,
	"ts_updated_at": 1775826740,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/9348bfba693c90bdd10e2972c377a5722da98c39.pdf",
		"text": "https://archive.orkl.eu/9348bfba693c90bdd10e2972c377a5722da98c39.txt",
		"img": "https://archive.orkl.eu/9348bfba693c90bdd10e2972c377a5722da98c39.jpg"
	}
}