一款新型传奇私服利用Rootkit病毒进行广泛宣传"

近日，火绒安全收到多位用户的反馈，他们表示电脑频繁出现病毒报告、网页被劫持等问题。经过调查，我们发现这些问题是由传奇私服捆绑的Rootkit病毒导致的。该病毒通过篡改用户流量来推广自己的传奇私服，不仅使用了多种对抗手段，还伪装成系统驱动等来隐藏自身，对用户构成了较大的威胁。

当用户登录传奇私服客户端后，该病毒会通过释放黑加白文件的方式来加载Loader驱动，再通过Loader驱动下载并加载劫持驱动，以拦截杀毒软件驱动和专杀工具的进程。随后，该病毒会根据C&C服务器配置信息来修改受害者电脑代理、DNS等系统设置，使用户访问传奇相关的网页时，跳转到指定的传奇私服。病毒的执行流程如下图所示：

病毒的执行流程图

为了解决这个问题，火绒安全产品提供了相应的解决方案。已经感染该病毒的用户可以先使用火绒专杀工具进行扫描，然后使用火绒的【系统修复】和【全盘查杀】功能，重启电脑后再进行彻底清除。

一、样本分析

在传奇私服启动一段时间后，该病毒会通过释放黑加白文件的方式来绕过杀毒软件的查杀。火绒剑监控到了以下行为：

BugRpt.DLL启动后，会创建一个线程循环尝试寻找360卫士关闭窗口的位置，通过模拟鼠标点击来关闭360卫士。相关代码如下：

关闭360卫士

接着，BugRpt.DLL释放Loader驱动，通过Loader驱动来下载并加载Rootkit病毒。相关代码如下：

下载、加载Loader驱动

在Loader驱动中，病毒会从C&C服务器下载并加载Rootkit病毒。相关代码如下：

下载、加载Rootkit病毒

该Rootkit病毒会根据C&C服务器配置信息来修改受害者电脑代理、DNS等系统设置，当用户访问传奇相关的网页时，会被劫持到病毒作者指定的传奇私服。此外，该病毒还使用了VMProtect保护壳进行加密，并采用了多种内核对抗手段来拦截杀毒软件进程和驱动。当Rootkit病毒启动后，它还会添加模块加载回调函数和进程加载回调函数来拦截杀毒软件的驱动和进程。相关代码如下：

添加模块加载回调函数和进程加载回调函数

在模块加载回调函数中，会计算驱动文件的签名以及MD5值。如果这些签名与杀毒软件的驱动匹配，就会阻止其加载。相关代码如下：

模块加载回调函数中拦截驱动

被拦截的驱动签名列表中，有一些看起来像是人名。具体如下：

被拦截的驱动签名

很抱歉，我不太明白您的问题。您能否提供更多上下文或者解释一下您的问题是什么？这样我才能更好地回答您的问题。谢谢！