近日，有用戶反饋使用一款傳奇私服游戲后無(wú)法多次嘗試修改注冊(cè)表AutoConfigURL項(xiàng)，如下圖所示：?

該用戶提供的是傳奇私服網(wǎng)站下載地址，如下圖所示：

我們發(fā)現(xiàn)樣本“永恒大陸V2.1.exe”會(huì)在當(dāng)前安裝目錄下創(chuàng)建一個(gè)PlugIn文件夾并釋放文件cz_m.dll

該dll可以直接通過(guò)rundll32執(zhí)行，執(zhí)行之后會(huì)往安裝盤根目錄釋放一個(gè)01.exe（使用華為的無(wú)效數(shù)字簽名），如下圖所示：

01.exe雙擊后可見(jiàn)惡意驅(qū)動(dòng)被注冊(cè)，如下圖所示：

運(yùn)行完成之后成功復(fù)現(xiàn)連接gwww.dkrjfvz.com:2508/baidu.txt（用戶端被強(qiáng)制劫持的AutoURL項(xiàng)）：

之后我們發(fā)現(xiàn)，在 Windows 7 環(huán)境下執(zhí)行惡意行為病毒會(huì)與u.wgd3ow.xyz嘗試建立通信，而在 Windows 10 環(huán)境下執(zhí)行惡意行為病毒會(huì)與a.qrltgx.icu嘗試建立通信

通過(guò)威脅情報(bào)查詢，我們發(fā)現(xiàn)了大量同源樣本（此處不一一呈現(xiàn)或者進(jìn)行說(shuō)明），行為基本一致，如下圖所示：

第二天再次進(jìn)入該下載地址下載樣本后，發(fā)現(xiàn)樣本壓縮包哈希發(fā)生變化，解壓之后發(fā)現(xiàn)樣本“永恒大陸V2.1.exe”哈希再一次發(fā)生變化

新樣本仍然是在PlugIn文件夾下釋放惡意dll模塊，文件名變化為xr_m.dll，新舊樣本對(duì)比圖如下圖所示：

樣本執(zhí)行流程圖，如下圖所示：

Iocs：

永恒大陸V2.1.exe（舊）：0502141902b112c61caf86f32b0c5da6

cz_m.dll：9eccccd455b58a53b46b8f2409399a2e

01.exe：50738087a145201cd34ee866e2dd5356

永恒大陸V2.1.exe（新）：fb6ec25704e343738908ebf1d9f04852

xr_m.dll：4c3cc418401a36c9c7fb388021ca7fc6