警惕，又有传奇私服RootKit正在传播

近日，有用户反馈使用一款传奇私服游戏后无法多次尝试修改注册表AutoConfigURL项，如下图所示： 

该用户提供的是传奇私服网站下载地址，如下图所示：

我们发现样本“永恒大陆V2.1.exe”会在当前安装目录下创建一个PlugIn文件夹并释放文件cz_m.dll

该dll可以直接通过rundll32执行，执行之后会往安装盘根目录释放一个01.exe（使用华为的无效数字签名），如下图所示：

01.exe双击后可见恶意驱动被注册，如下图所示：

运行完成之后成功复现连接gwww.dkrjfvz.com:2508/baidu.txt（用户端被强制劫持的AutoURL项）：

之后我们发现，在 Windows 7 环境下执行恶意行为病毒会与u.wgd3ow.xyz尝试建立通信，而在 Windows 10 环境下执行恶意行为病毒会与a.qrltgx.icu尝试建立通信

通过威胁情报查询，我们发现了大量同源样本（此处不一一呈现或者进行说明），行为基本一致，如下图所示：

第二天再次进入该下载地址下载样本后，发现样本压缩包哈希发生变化，解压之后发现样本“永恒大陆V2.1.exe”哈希再一次发生变化

新样本仍然是在PlugIn文件夹下释放恶意dll模块，文件名变化为xr_m.dll，新旧样本对比图如下图所示：

样本执行流程图，如下图所示：

Iocs：

永恒大陆V2.1.exe（旧）：0502141902b112c61caf86f32b0c5da6

cz_m.dll：9eccccd455b58a53b46b8f2409399a2e

01.exe：50738087a145201cd34ee866e2dd5356

永恒大陆V2.1.exe（新）：fb6ec25704e343738908ebf1d9f04852

xr_m.dll：4c3cc418401a36c9c7fb388021ca7fc6