Strkon病毒分析与防护指南

一、病毒概述

Strkon是一种通过游戏外挂传播的恶意病毒，主要针对《传奇》游戏玩家，通过劫持用户浏览器主页和网站流量牟利。

二、传播途径

1. 传播载体：

   • "万千辅助"外挂(官网:hxxp://www.wanqianfz.com)
   • "传奇通用变速器"(官网:hxxp://www.xinbiansu.com)

2. 传播方式：

   • 提供收费版和免费版两个版本
   • 通过QQ群(172723801)推广新下载地址和更新方式

三、病毒行为分析

A. 主页劫持

• 每日从C&C服务器(http://xxxx.com/yun2016/xinzhuye.txt)获取最新劫持网址
• 劫持目标包括但不限于：
  • www.szsplw.com
  • www.snwcct.com
  • www.gyajzx.com
• 劫持后显示传奇私服入口、辅助工具和加速器推广页面

B. DNS劫持

• 从C&C服务器获取DNS配置替换本地设置
• 删除本地hosts文件完全接管DNS服务

C. 流量劫持

• 针对多个主流网站进行流量劫持

D. 云控功能

• C&C服务器存储加密配置信息(格式:#-START-#+加密配置+#-END-#)
• 支持病毒功能更新和策略下发

E. 驱动对抗技术

1. 隐藏技术：

   • 劫持tcpip.sys驱动
   • 隐藏自身驱动对象名

2. 系统回调挂钩：

   • PsSetCreateProcessNotifyRoutine
   • PsSetCreateThreadNotifyRoutine
   • PsSetLoadImageNotifyRoutine
   • IoRegisterShutdownNotification
   • CmRegisterCallback

四、病毒样本信息

• 文件名：Strkon
• SHA1：93ec2e1f0cbe7f64c8ef3b8b17257bc9e49e2085
• 检测率：截至2018年4月，仅3家安全厂商可检测(Virustotal数据)

五、防护建议

1. 预防措施：

   • 避免下载使用游戏外挂，特别是"万千辅助"和"传奇通用变速器"
   • 不要加入可疑QQ群(如172723801)
   • 避免访问上述提到的可疑网站

2. 检测与清除：

   • 使用专业安全软件进行全盘扫描
   • 检查并修复浏览器主页设置
   • 恢复DNS设置和hosts文件
   • 检查系统驱动是否被篡改

3. 系统修复：

   • 重置网络设置
   • 检查系统回调挂钩
   • 更新操作系统和安全软件

六、总结

游戏外挂是病毒传播的主要渠道之一，Strkon病毒通过高级驱动对抗技术和云控机制，实现了持久化驻留和多维度劫持功能。用户应提高安全意识，避免使用不明来源的游戏辅助工具，以保护个人信息和系统安全。