剛剛過去的“五一”小長假裡，各大景區“洶湧”的人山人海，想必讓很多選擇留在家中打遊戲的玩家都慶幸自己躲過了一劫。不過，遊戲世界裡卻也未必安寧，就在五一節前，360安全大腦攔截並查殺了一款通過《魔獸爭霸3》遊戲地圖進行傳播的新型蠕蟲病毒，玩家一旦在遊戲平臺中選擇了帶有該蠕蟲的地圖，蠕蟲就會感染玩家的計算機。

魔獸爭霸地圖或均受牽連

        特別需要注意的是，面對該蠕蟲病毒的威脅，廣大玩家可別低估病毒的傳染能力。根據360安全大腦追蹤發現，該蠕蟲在入侵得手後，會進一步感染玩家魔獸爭霸中的其它正常遊戲地圖。這就意味著，若你的小夥伴中毒不自知，還邀你組局開黑，當你進入了遊戲房間，你的地圖也會隨之中招。因此如若不及時查殺，病毒可能在最短時間內造成大面積感染。

        經過360安全大腦的深度溯源分析，發現蠕蟲作者使用的C&C域名帶有lucky2048字樣，故將此蠕蟲病毒命名為“Lucky蠕蟲”。360安全大腦在監測到這一新型病毒後，已第一時間實現了全面查殺，因此“Lucky蠕蟲”的活躍度在五一節假日這一使用者玩遊戲的高峰時段就有了非常明顯地跌落。

        所以，對於安裝有360安全衛士（擁有360安全大腦的支援）的電腦使用者而言，即便玩了《魔獸爭霸3》，也不必擔心電腦會受到“Lucky蠕蟲”的入侵。

Lucky蠕蟲整體工作流程

解刨“蠕蟲”母體 全面分析攻擊原理

        某個被感染的“Green Circle塔防三國”地圖結構如下，其中主指令碼“war3map.j”被插入一句程式碼以觸發執行嵌入的指令碼“initrb”（“File00000028.xxx”），該指令碼即為被利用的魔獸地圖漏洞攻擊程式碼，主要功能是釋放並執行lucky蠕蟲模組“MX.txt”（“File00000029.exe”，實際上是個DLL程式）。

        指令碼“war3map.j”在主函式末尾插入了一句呼叫程式碼，用來執行“initrb”漏洞程式碼：

        “initrb”漏洞攻擊程式碼其實早在去年就有人公開披露過，只不過現在被不法分子用來傳播蠕蟲病毒獲取“肉雞”（參考：“hxxps://www.52pojie.cn/thread-718808-1-1.html”）。該程式碼主要利用了指令碼變數的型別轉換漏洞實現了任意記憶體讀寫，進而劫持魔獸爭霸3主程式去載入執行蠕蟲模組“MX.txt”。

        此漏洞形成的原因是當指令碼中的全域性變數和區域性變數同名時，會將全域性變數轉成區域性變數，從而造成全域性變數的引用指標發生了意外轉換。如下全域性整型陣列變數“Memory”在某過程函式中被重新定義成了一個區域性的整型變數，導致全域性變數“Memory”地址變成0，從而可以索引程式空間所有的記憶體地址範圍，進而用來實現任意記憶體讀寫。

        該漏洞影響了《魔獸爭霸3》的多個歷史版本，攻擊程式碼中對此也做了相應的相容性檢測。

        蠕蟲模組“MX.txt”是一個加了VMP強殼保護的DLL程式，被《魔獸爭霸3》遊戲程式載入執行後，主要的工作流程分成3個部分，分別是感染正常的魔獸地圖、安裝持久化後門和遠端控制。

1、感染地圖

        該蠕蟲在感染使用者正常地圖時首先釋放魔獸“MPQ”格式的API庫檔案“SFmpq.dll”，使用該檔案可以方便的操作“MPQ”格式的地圖資源。

        然後去《魔獸爭霸3》安裝路徑的地圖目錄下尋找所有的“*.w3x”格式的地圖，並使用MPQ庫API來操作這些地圖檔案的內部指令碼資源。

        該類地圖檔案的主執行指令碼為“war3map.j”，於是該蠕蟲找到該指令碼位置，準備往其中插入漏洞利用程式碼和蠕蟲程式本身。

        找到“war3map.j”的主函式尾位置，然後插入一行呼叫程式碼以執行真正的漏洞利用指令碼“initrb”，接著將內建的“initrb”指令碼新增到目標地圖檔案中，指令碼程式碼與前述一致。

        除了漏洞利用指令碼外，還往目標地圖中新增蠕蟲病毒母體本身，進行自我複製。

2、安裝持久化後門

        此蠕蟲病毒進行持久化主要是根據雲控配置聯網下載兩張經過處理的圖片，並進一步解密出後門模組安裝到使用者系統中潛伏。

        雲控配置的存放地址有3個（其中最後一個無法訪問），首先連線“hxxp://umsdfyuwlp.tk”，該地址正常訪問的時候應該是這樣：

        但是由於該蠕蟲感染傳播的速度太快，可能作者自己也沒有想到，此伺服器很快就負擔不起上十萬的訪問請求了，於是該伺服器的常態返回結果如下：

        不過沒關係，這個伺服器處理不過來，病毒作者機智的準備了另外一個利用公共設施的服務地址“hxxps://lucky2048.github.io”，由於該地址使用的是Github專門為個人使用者提供的部落格伺服器，自帶了負載均衡，再也不必操心“肉雞”一下收割太多的問題了。

        獲取了這些雲控配置後，對其進行分割和解密，最終得到3個資訊欄位如下，包括一個ip地址和兩個圖片下載地址，其中後兩個圖片地址包含的是與本節持久化相關的模組，第一個ip地址在下面的遠端控制功能使用。

        當病毒檢測到系統中的後門模組不存在時，就會下載對應的“1.gif”或者“2.gif”圖片來進行安裝。每張圖片均在資料尾部附加了一個壓縮過的PE檔案，資料組織格式採用很常見的木馬套路：“圖片資料”+“0x033E0F0D”標誌頭+“壓縮資料長度”+“zlib壓縮資料”。

        “1.gif”圖片解壓後得到的模組是一個偽裝成“Windows Media Player”的後門程式，經過分析發現，目前該模組的功能基本上和蠕蟲病毒母體重合，只是少了其中感染魔獸地圖的功能。如下可見該後門模組偽裝成“Windows Media Player”程式並設定了隱藏和自啟動。

        “2.gif”圖片解壓後得到的模組是該蠕蟲母體本身，最終會拷貝一份到魔獸安裝目錄下為“war3*.flt”（*為隨機字元），並且當檢測到該目錄不存在該flt檔案時會重新安裝。之所以命名為flt檔案是因為《魔獸爭霸3》主程式War3.exe在啟動時會自動載入執行該目錄下的“*.flt”外掛模組。

        另外蠕蟲母體還會釋放一個載入器“rundll*.exe”到魔獸安裝目錄下，該載入器的主要功能其實就僅僅是載入執行蠕蟲母體本身，輔助其持久化地執行在使用者系統中。

3、遠端控制

        從雲控配置裡解密出第一個欄位資料，當前配置解密出的資料為字串“999”，但經過分析該欄位被當作一個ip地址來連線遠端控制伺服器，只不過目前此地址無效。

        使用該ip地址加上固定的一個埠號“19730”，從而構造出遠端控制伺服器的connect地址結構體引數，但是由於ip地址“999”無效導致當前無法連線成功，不過作者可以隨時更改Github上的配置來收割這些中招的“肉雞”。

        若成功上線，將進入非同步的遠控控制碼處理流程，如下可見包含“1001”、“1002”等多個控制碼處理過程。

        經過除錯分析後整理該遠控的功能列表如下，發現是個非常精簡的“迷你版”遠控，或許該作者別有用心，只需要特定的幾個控制功能。

        本蠕蟲病毒利用已知的遊戲客戶端漏洞進行大規模的傳播後門木馬，遊戲使用者可能在正常玩遊戲過程中沒有任何防備的情況下就不知不覺中招了，並且該病毒還會主動感染其他正常的遊戲地圖，進行主動的傳播擴散，大大增加遊戲使用者互相感染的速度。中招後該病毒在使用者機器上安裝釋放後門遠控程式，然後等待時機成熟便可以通過修改放在公共設施Github上的配置來控制成千上萬的“肉雞”使用者。

        繼WannaCry勒索病毒利用“永恆之藍”漏洞核武器進行全球大範圍爆發後，360安全大腦再次攔截了一款同樣通過漏洞核武器進行大規模傳播感染的“Lucky”蠕蟲病毒。黑客利用已知的公開漏洞進行大規模的網路攻擊早已成為新的安全常態，此次事件雖然在作者還未進行大規模收割“肉雞”使用者造成更大的危害之前就被360安全大腦成功攔截，但安全不可鬆懈，建議廣大的網民及時前往“weishi.360.cn”，安裝最新版本的360安全衛士，可以在使用者遊戲期間進行有效的防禦和病毒查殺，全方位保護使用者安全。

IOCs