近日，火绒安全实验室发现一种新型Rootkit病毒，该病毒利用传奇私服登录器进行传播，用户中毒后桌面上会出现名为“JJJ发布站”的快捷方式，并且删除后会重新被释放到桌面。当用户访问传奇相关的网页时，会被劫持到病毒作者预设的劫持网页。且该Rootkit病毒会通过文件自保对抗安全软件查杀，还会将系统版本和计算机名等终端信息上传到病毒服务器。

病毒创建的快捷方式，如下图所示：

推广快捷图标

快捷方式指向的推广网页，如下所示：

推广页面

火绒安全产品已对传奇私服登录器以及其携带的恶意模块进行拦截查杀。已感染该病毒的用户，可使用火绒专杀工具清除病毒，并重启电脑后使用火绒【快速扫描】功能彻底查杀该病毒。
（专杀下载地址： 9f5K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1j5Y4y4Q4x3X3g2Z5N6h3!0J5L8$3&6Y4i4K6u0W2j5$3&6Q4x3V1k6@1K9s2u0W2j5h3c8Q4x3X3b7I4z5o6f1%4y4g2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8q4!0q4c8W2!0n7b7#2)9^5z5b7`.`.

Rootkit是一种系统内核级病毒木马，其进入内核模块后能获取到操作系统高级权限，从而隐藏和保护自身，以绕开安全软件的检测和查杀。不少Rootkit病毒会利用网络游戏私服登录器携带的恶意模块进行激活，火绒安全提醒广大游戏玩家要格外留意。

火绒安全查杀图

病毒分析

当用户访问传奇相关的网页时会被劫持到病毒作者预设的推广网页，如：当访问hxxps://ad4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4A6K6k6W2)9J5k6h3y4G2L8g2)9J5c8W2!0q4y4W2)9&6y4#2!0n7y4W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4q4!0n7b7#2)9&6b7g2!0q4z5q4!0m8x3W2!0m8b7W2!0q4y4g2)9^5b7g2!0m8b7W2!0q4y4W2)9^5b7#2)9^5x3g2!0q4y4g2)9^5z5q4!0n7x3l9`.`. hxxps://hebav.today/default/，相关代码，如下图所示：

劫持相关代码

病毒驱动会将恶意代码注入到Lsass.exe和Svchost.exe两个系统进程中，伪装成系统进程来执行恶意程序，相关代码，如下图所示：

注入代码

被注入的恶意代码会检测360和腾讯电脑管家，并且还会将一些终端信息上传到病毒服务器如：系统版本和计算机名等信息。相关代码，如下图所示：

收集本机相关信息

附录

病毒HASH

[培训]科锐逆向工程师培训第53期2025年7月8日开班！