火绒安全中心发布技术分析，指出QQ音乐遭遇“白加黑”攻击，被利用推广传奇私服。攻击者通过替换QQ音乐旧版本文件，加载恶意DLL，解压劫持网页模块，并安装恶意驱动，最终将用户访问的指定网页劫持至私服发布页面。该恶意驱动还具备检测和干扰安全软件的能力。恶意DLL文件执行逻辑分为三个阶段：首先释放并运行传奇私服程序，然后下载劫持模块，最后执行劫持操作。火绒安全产品目前可拦截查杀该病毒。

⚠️QQ音乐遭遇“白加黑”攻击：攻击者利用旧版本QQMusic.exe文件，加载恶意DLL，实现对用户网页的劫持。

🛠️攻击流程分三阶段：初始阶段释放传奇私服程序；下载劫持模块，包括第一、二分支；最后执行劫持操作，将用户导向私服发布页。

🛡️恶意驱动具备隐藏能力：该驱动可检测并断链ARK工具驱动，隐藏自身，同时干扰安全软件的通信，增加查杀难度。

快科技1月22日消息，今天火绒发布技术分析，称QQ音乐遭遇“白加黑”利用，网站被劫持推广传奇私服。

火绒表示，近期火绒威胁情报中心监测到QQ音乐目录下存在异常进程自启现象，经溯源分析，确认该进程文件为2021年版本的QQMusic.exe文件。

攻击者利用“白加黑”技术加载恶意DLL文件，解压出劫持网页模块，随后安装用于劫持网页的恶意驱动，最终达成将指定网址劫持至私服发布页面的攻击目的。

原网站

劫持后网站

此外，该恶意驱动还可检测ARK工具驱动，并对其进行断链以隐藏自身驱动，同时对安全软件的通信进行干扰。

根据火绒的分析，恶意DLL文件执行逻辑可以分为以下三个阶段：

初始阶段：样本首先释放并运行原始文件，即传奇私服程序，随后下载配置文件并检查指定文件和注册表决定进入哪条分支。

下载劫持模块：第一分支和第二分支负责下载劫持模块，尽管第三分支由于无法成功下载文件，所以火绒无法确切判断它是否也会执行下载劫持模块的操作，但在分类上依然将其归到这一阶段当中。

劫持模块：劫持模块中实现劫持操作，将指定网页劫持至传奇私服发布页。

目前，火绒安全产品可对上述病毒进行拦截查杀，感兴趣的可以前往查看完整分析过程。