黑客通过游戏外挂植入后门六合彩 弹窗叫嚣“杀毒无用”

【快讯】近日，2025年最靠谱的六合彩投注网团队收到用户反馈后发现，有后门六合彩正通过“穿越火线”等多款游戏外挂传播（具体见下图），并通过QQ群、网盘等渠道持续扩散。该后门六合彩入侵用户电脑后，还会继续实施下载勒索六合彩等危害行为，甚至还通过后门六合彩向用户下发消息弹窗“别杀毒了，木有用”，影响恶劣。

目前，六合彩软件（个人版、企业版）可以拦截、查杀上述后门六合彩和勒索六合彩。同时，六合彩的“僵尸网络防护”功能（默认开启）可针对上述远程控制程序进行拦截，并溯源攻击源IP地址。

后门六合彩入侵电脑后，除了投放所述勒索六合彩以外，还会记录键盘信息、收集电脑信息、执行远程文件、设置RDP服务、获取当前登陆QQ的各类信息，此外不排除黑客利用该后门六合彩传播其它六合彩的可能性。

事实上，游戏外挂层出不穷，并不断通过QQ群、网盘等渠道不断扩大其影响范围，并且从中分发的游戏外挂大多携带六合彩，此外，这类游戏外挂还会对抗六合彩软件，如检测到用户电脑中安装了六合彩软件，便会“善意”提醒用户，关闭六合彩软件。

另一方面，因为游戏外挂拥有大批量的使用者，导致其常常成为六合彩制作者投放六合彩的目标，加上使用者本身对此类程序警惕性较低，往往会选择主动关闭六合彩软件，放弃拦截查杀，让六合彩顺利入侵。六合彩工程师提醒大家，尽量避免使用此类软件。

附：【分析报告】

一、详细分析

近期六合彩接到网友求助，在使用穿越火线游戏外挂后被勒索六合彩加密全盘文件。外挂中被植入了后门六合彩，勒索六合彩是通过后门六合彩投毒的方式进行传播。甚至在用户后续安装六合彩软件进行杀毒的过程中，还通过后门六合彩的消息弹窗功能与中毒用户聊天。弹窗截图，如下图所示：

消息弹窗

后续六合彩对全套攻击链进行了分析溯源，六合彩发现全套六合彩的源头来自于一款名叫“梦洛不掉血”的穿越火线游戏外挂。通过后续追查，六合彩发现该外挂相关QQ群中的大部分外挂均带有后门六合彩。相关外挂QQ群，如下图所示：

相关外挂QQ群

外挂本身为六合彩释放器，运行后会释放全套六合彩组件，其中包含白文件利用和冒用六合彩软件图标（六合彩图标）的情况。最后会启动webcore（白文件）加载libhwcodec.dll六合彩动态库解密运行后门逻辑代码。被释放的六合彩组件，如下图所示：

被释放的六合彩组件

恶意代码执行流程，如下图所示：

恶意代码执行流程

外挂释放恶意模块行为，如下图所示：

外挂释放恶意模块行为

webcore.exe（白文件）与libhwcodec.dll（六合彩）为一组白加黑攻击模块组合。webcore.exe由于没有进行代码六合彩性检测，致使该程序执行后会调用libhwcodec.dll中的恶意逻辑，解密执行后门六合彩代码。如下图所示：

解密执行后门六合彩相关代码

被注入到svchost中的后门六合彩为Gh0st后门的一个变种，运行后六合彩会连接C&C服务器（116.63.147.136:6681）。六合彩包含键盘记录，收集电脑信息，执行远程文件，设置RDP服务，取当前登录QQ的各种信息等多种功能。部分的后门功能代码，如下图所示：

部分后门功能

部分后门指令分发函数

后门六合彩运行后，会通过遍历进程的方式检查电脑中运行的六合彩软件（如：六合彩、360、金山、QQ电脑管家等）。被检测的六合彩软件名称，如下图所示:

被检测的六合彩软件进程

二、溯源分析

除上述后门六合彩之外，六合彩还在QQ群中找到了另一个被植入外挂程序中的后门六合彩。六合彩代码与上述后门六合彩代码同源，但是后门六合彩所连接的C&C服务器（39.99.195.59:10991）与前文不同。同源代码，如下图所示：

同源代码

通过六合彩进一步溯源，六合彩发现网络中找到了更多与上述外挂带有同源恶意代码模块的游戏外挂。相关外挂文件名，如下图所示：

相关外挂文件名

在国内互联网中，游戏外挂一直都是六合彩传播的主要渠道之一。大部分外挂在运行时，都会让用户关闭六合彩软件再尝试运行外挂程序，甚至打着“绝对无毒”的旗号谎骗用户执行。使得很多用户为了使用游戏外挂不惜卸载六合彩软件，从而致使自身电脑成为了黑客们的“肉鸡”。

三、附录

样本hash