昨天笔者在刷小黑盒的时候看到了PUBG分区下许多用户讨论“在微信群自动接收文件导致账号被误封”,当时粗看标题,笔者认为是不法分子将外挂特征码藏在文件中导致反作弊软件检测并进行封禁。
但是想到战眼反作弊一般不进行扫盘,并且看到了相关文件(即1.bat)的更多内容让笔者消除了第一种猜想,但随即而来的是更多疑问,什么批处理文件(.bat)能够做到下载后自动运行,难道是微信的严重缺陷导致?但如果是微信的漏洞,那早应该爆发更严重的电脑安全威胁而不是仅用于针对PUBG玩家群体。由于笔者以及与笔者一同游玩的朋友并没有被这次风波波及,笔者便没继续深究。
1.bat中所包含的全部内容
分析这个批处理文件的行为,简单描述下,第一条指令让这个文件在运行时不会输出任何错误信息;第二条是从一个腾讯云的COS(对象存储,可以理解为一个云盘)中下载一个.TTF文件(链接已失效);第三条则是通过rundll32执行刚刚下载的神秘文件;第四条则是文件本身的自销毁命令。
1.bat的行为检测
这本身是一个很简单的批处理文件,什么?你问批处理文件是什么,你可以简单理解为一个文件,在收到执行命令后让电脑逐条执行所包含的命令。那什么情况下批处理文件会被运行呢?1)电脑用户手动运行 2)被不法分子利用系统漏洞远程执行。正如前文所述,如果微信真的存在严重的系统漏洞会让批处理文件远程运行,那会爆发更严重的,可以说是全球级的网络安全威胁,如果只是用来针对PUBG玩家群体,岂不是完全吃力不讨好?因此笔者猜想大部分中招的玩家都选择了运行这个文件。
那究竟是什么文件让玩家会主动运行?为了验证猜想,笔者选择继续溯源。
让我们从最有可能藏毒的神秘.ttf文件入手,当笔者写这篇文章时,批处理文件中所包含的链接已经失效了,笔者便在一些网络安全沙盒网站上搜索相关文件样本,功夫不负有心人,终于在微步云沙盒中找到有相关样本的提交,翻看所有行为分析可以确定它们没有利用漏洞使自身具备自动运行的能力,基本可以排除批处理文件被远程执行的说法。但在当今计算机普及,大部分电脑用户应具备不运行来路不明的文件的常识,那为什么还会有那么多玩家中招呢?
1.bat下载的ttf(字体文件)行为分析
为了一探究竟,作者选择在沙盒(一种计算机虚拟化技术,通常用来测试计算机病毒)中运行该文件,得到了如下耐人寻味的运行结果。
运行结果
英语小课堂
客户名称?还要登录?笔者认为,本次“误封”风波除去少数一些可能手贱下载文件后就运行的老哥,有些被“误封”的人可能并不是那么无辜哦
当然这只是笔者的一个猜测,笔者也只是一个电脑技术业余爱好者,本篇文章写的不正确的地方欢迎各位指出
(封面来自小黑盒社区)