文章总结： 火绒安全监测发现多款换皮游戏盒子通过抖音等渠道捆绑传播DDoS病毒，诱导用户关闭杀软后利用设备攻击竞争对手网站。病毒具备云控功能，经DES加密配置指令，支持多种协议发起攻击。建议用户通过官方渠道下载软件，切勿关闭安全防护，警惕非官方游戏工具风险。 综合评分： 85 文章分类： 恶意软件,威胁情报,逆向分析

游戏虽好别乱下！这类游戏盒子暗藏DDoS病毒

原创

火绒安全 火绒安全

火绒安全

2026年3月9日 17:33 北京

摘要

近期，据火绒威胁情报中心监测，有大量用户感染DDos病毒。经溯源分析，传播源头指向一款通过抖音、淘宝等渠道推广的游戏盒子，用户在使用该类游戏盒子下载游戏工具或其他游戏内容时，会被捆绑投放DDos病毒。病毒落地后，攻击者可通过设置云控配置，远程控制受感染设备对其他Steam入库工具服务器以及任意目标网站发起DDos攻击，从而使该网站服务崩溃。目前，火绒安全产品可对上述病毒进行拦截查杀。

火绒安全工程师通过溯源发现，名称为“蒸汽平台”“全界游戏盒子”“3GM游戏”“大玩家”等游戏盒子通过抖音平台进行大量推广。经分析，这些所谓不同名称的游戏盒子，本质上均为同一套模板的换皮产品，只在外观、名称和包装上进行了区分。

抖音游戏盒子推广和下载页面

此外，根据“大玩家游戏盒子”中的使用教程可发现，不同游戏盒子之间的VIP并不互通。由此推测，这些游戏盒子很可能出自同一套底层平台，由不同渠道商分别进行分发、运营，因此形成了同源产品多渠道换皮推广模式。

大玩家游戏盒子使用教程VIP不相通声明

其中的教程视频中还会建议用户关闭Windows Defender（Windows 自带安全软件），称其会使电脑运行和下载速度变慢，然而这将会导致用户使用该盒子下载游戏或工具时感染DDos病毒，被用于攻击其他网站。

建议关闭杀毒软件

经进一步分析云控配置发现，被攻击的网站其中之一为cool666.top。进一步分析其站点结构后，发现存在一个固定下载模板地址https://game.cool666.top/GameList/{APPID}.zip，基于该模板，将《泰拉瑞亚》的Steam APPID（105600）代入后，可拼接得到对应下载地址 https://game.cool666.top/GameList/105600.zip，对该压缩包进行分析后发现其中包含Lua脚本。结合以往对Steam入库工具的分析经验，可以判断该脚本即为用于“入库”操作的Lua脚本。由此可进一步认定，被攻击的网站本质上是一个提供Steam入库服务的网站。

入库Lua脚本

01

样本分析

流程说明：用户下载游戏盒子后会下载游戏或者工具，此时该程序会捆绑下载DDos病毒，随后该 DDos 病毒会主动获取云控配置并解密解析，其配置中包含需要攻击的目标IP或网址，随后利用循环的方式进行访问，其中会通过修改注册表达到持久化的目的。

流程图

文件介绍

游戏盒子捆绑下发原理

游戏盒子在用户点击下载按钮时会调用startdownGame函数，该函数第一行即是调用poget（下载DDos病毒）函数的代码。

下载游戏函数

该poget函数会从云控配置中读取speed_url与speed_url2字段，从中解析出病毒SHA1、主域名、文件路径及下载文件名等信息。随后，程序通过cefQuery通信接口向宿主端（steamall.exe）发送js_aria2_download、js_changeFileName、RunExe等命令，依次完成 DDoS病毒的下载、重命名及执行操作。

下载病毒并执行

js_aria2_download：下图为前端（chrome.exe）发送的RPC/JSON请求数据，从而将下载任务发送至宿主端（steamall.exe）处理该请求，最终调用bin.exe（即aria2下载组件）下载文件。

下载文件

js_changeFileName：该指令最终会使steamall.exe进程利用MoveFileExW函数将下载好的192.168.0.71文件改名为BeService.exe。

修改文件名

DDos病毒

从上述游戏盒子中的逻辑可以看出DDos病毒会有两种，两种病毒分别为C#与C++所写，但其中逻辑基本一致，可以通过云控配置的解密和解析手段判断，其中云控配置依然是通过HTTP下载，且云控配置同样是被DES加密并使用Base64编码的字符串，同时云控配置的结构同样是类似于INI文件的自定义结构。

而BeService.exe（C#）与slinati.exe（C++）最大的区别在于支持的协议，其中前者支持 GET、POST、WS等协议，而后者只支持TCP与UDP协议。

初期该DDos病毒会主动访问以下链接获取云控配置：

云控配置相关链接或函数

随后通过Base64解码和DES算法配合密钥（”44556677″）与初始化向量（”77665544″）实现解密。

解密

解密云控配置后可以发现存在以下字段，分别含义如下：

云控配置字段说明

下面是三种不同样本获取到的云控配置，分析初期获取到的是攻击cool666.top网址的云控配置，故猜测该盒子主要攻击同类型提供游戏服务的同行业竞争者，但后续发现并不只有Steam 入库服务网址，还有一些其他无法识别的网址。

Kxe= md5=3F1F86ECEA840D3596A8FF0A4BC98D1D ShowConsole=0 RT=20 AutoStart=1 [1] Url=https://get.cool666.top/steam/SteamTools Method=POST Threads=1 Delay=1000 POST /steam/SteamTools HTTP/1.1 Connection: keep-alive Accept: */* Host: get.cool666.top Accept-Encoding: gzip, deflate Content-Length: 0 Body=page=4&pageSize=50&keyword=

Kxe= md5=3F1F86ECEA840D3596A8FF0A4BC98D1D ShowConsole=0 RT=60 AutoStart=1 [1] Url=http://103.45.162.22:443 Method=GET Threads=10 Delay=1000 Method=GET [2] Url=http://110.42.65.132:443 Method=GET Threads=10 Delay=1000 Method=GET [3] Url=http://211.154.31.195:443 Method=GET Threads=10 Delay=1000 Method=GET [4] Url=ws://steamclould.cn:8080/ Method=WS Threads=15 Delay=1000 [5] Url=http://103.120.90.75:443 Method=GET Threads=15 Delay=1000 Method=GET

ShowConsole=0 RT=61 AutoStart=1 [1] Url=183.136.132.43:443 mode=tcp Threads=5 Delay=1000 [2] Url=211.154.31.195:443 mode=tcp Threads=30 Delay=1000 [3] Url=103.120.90.75:443 mode=tcp Threads=30 Delay=1000

最终会通过解析得到的云控配置规则进行循环访问或发送数据，使被攻击的服务过载，进而拒绝服务。

请求代码

火绒安全提示

请广大用户通过官方正规渠道下载游戏及相关工具，切勿轻信非官方游戏盒子的推广内容，不要随意关闭系统安全防护软件。警惕某些营销号的引流话术，切勿使用来源不明的游戏破解补丁、修改器、非官方入库工具，避免设备被恶意程序利用，及时防范、注意风险。火绒安全将持续监测该类恶意威胁，让您安心玩游戏，守好安全关。

02

附录

C&C

HASH

HUORONG

火绒安全成立于2011年，是一家专注、纯粹的安全公司，致力于在终端安全领域为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎等相关自主研发技术。多年来，火绒安全产品凭借“专业、干净、轻巧”的特点收获了广大用户的良好口碑。火绒企业版产品更是针对企业内外网脆弱的环节，拓展了企业对于终端管理的范围和方式，提升了产品的兼容性、易用性，最终实现更直观的将威胁可视化、让管理轻便化，充分达到保护企业信息安全的目的。

求点赞

求分享

求喜欢

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：火绒安全 火绒安全 火绒安全《游戏虽好别乱下！这类游戏盒子暗藏DDoS病毒》