1月22日消息，今天火絨發布技術分析，稱QQ音樂遭遇“白加黑”利用，網站被劫持推廣傳奇私服。

火絨表示，近期火絨威脅情報中心監測到QQ音樂目錄下存在異常進程自啟現象，經溯源分析，確認該進程文件為2021年版本的QQMusic.exe文件。

攻擊者利用“白加黑”技術加載惡意DLL文件，解壓出劫持網頁模塊，隨后安裝用于劫持網頁的惡意驅動，最終達成將指定網址劫持至私服發布頁面的攻擊目的。

原網站

劫持后網站

此外，該惡意驅動還可檢測ARK工具驅動，并對其進行斷鏈以隱藏自身驅動，同時對安全軟件的通信進行干擾。

根據火絨的分析，惡意DLL文件執行邏輯可以分為以下三個階段：

初始階段：樣本首先釋放并運行原始文件，即傳奇私服程序，隨后下載配置文件并檢查指定文件和注冊表決定進入哪條分支。

下載劫持模塊：第一分支和第二分支負責下載劫持模塊，盡管第三分支由于無法成功下載文件，所以火絨無法確切判斷它是否也會執行下載劫持模塊的操作，但在分類上依然將其歸到這一階段當中。

劫持模塊：劫持模塊中實現劫持操作，將指定網頁劫持至傳奇私服發布頁。

目前，火絨安全產品可對上述病毒進行攔截查殺，感興趣的可以前往查看完整分析過程。