网通合击传奇私服(开游戏私服牟利1500余万元,刑罚!)
网通合击传奇私服文章列表:
开游戏私服牟利1500余万元,刑罚!
《热血传奇》是一款用户众多的大型网络游戏。刘某、徐某某等人看中了这款游戏的影响,未经著作权人许可,架设私服(私人网络服务器)供玩家游戏,非法经营额约1500余万元。2022年4月22日,经浙江省温州市瓯海区检察院提起公诉,法院以侵犯著作权罪依法判处被告人刘某有期徒刑三年,缓刑五年,并处罚金120万元;判处被告人徐某某有期徒刑三年,缓刑五年,并处罚金120万元。
结伙开服“当老板”,分工明确收益丰
刘某自己是《热血传奇》的资深玩家,2015年年底,他与在游戏里结识的徐某某、刘某某(在逃)三人合计开设游戏私服赚钱。他们从网上搜集了《热血传奇》游戏客户端,通过修改游戏脚本,先后制作成不同版本的《日月合击》游戏,放在网站上供玩家下载,并通过让玩家登陆至刘某租赁、架设的私人网络服务器,以向玩家出售“游戏元宝”、收取玩家交易保证金等方式进行获利。
经查,三人分工明确,按股份分红。刘某负责整体技术支撑,占股份40%;徐某某负责游戏私服日常运营,占股份40%;刘某某负责游戏宣传推广,占股份20%。期间,三人还以四至五千元的月工资雇佣栗某某等4人担任客服。从2016年1月至2020年4月案发,该团队通过运营私服非法经营数额达1500余万元。
经中国版权保护中心版权鉴定委员会鉴定,《日月合击》游戏与《热血传奇》在人物角色、游戏地图、游戏装备、技能、怪物等方面构成实质性相似。
检察官细致审查,多方联系告知权利人
瓯海区检察院受理本案后,承办检察官对案卷中的银行交易流水、微信及支付宝交易流水等数千条电子数据进行逐项比对、核查。为解决案件中技术性较强的认定难点、精确计算非法经营数额,检察官深入研究游戏开发与运营的相关知识。
确定权利人也存在难点。《热血传奇》版权方在韩国,由多个权利人共同拥有著作权,其版权占有、许可以及相关授权问题错综复杂。为了尽快告知权利人行使诉讼权利,瓯海区检察院严格依据有关规定,通过不同渠道多方联系相关权利人,促使多名权利人进行协商沟通,为后续工作奠定了基础,也有效保障了权利人的合法权益。
积极促成刑事和解,联合打击盗版行为
本案犯罪嫌疑人作案时间长达三年多,非法经营数额达1500余万元,为及时挽回权利人经济损失,案件办理过程中,瓯海区检察院借助知识产权调解室平台,多次对犯罪嫌疑人开展释法说理,通过沟通对接,积极促成双方当事人刑事和解,最终由犯罪嫌疑人家属向著作权权利人赔偿人民币150万元,并取得权利人的谅解。
检察官介绍,游戏私服属于盗版网络游戏,其本质就是一种侵犯著作权的行为。盗版游戏不仅侵犯著作权权利人的合法权益,也可能严重损害游戏参与者特别是青少年的身心健康。犯罪嫌疑人为了增强游戏的刺激性,攫取更大的经济利益,往往对游戏脚本和游戏规则进行修改,使玩家更容易沉迷其中,游戏平台甚至还会因缺少有效的监管而滋生网络赌博、网络色情等违法乱象。
来源:浙江省“扫黄打非”办公室
揭秘传奇私服顶榜骗局和骗术,被骗了又该怎么办?
传奇游戏是80后一代人的回忆,前段时间传奇再现,游戏公司又请实力明星广告代言,‘渣渣辉’‘一刀999’等一些相关名词被广大网友所熟知。不管是因为情怀,还是真的被广告所吸引,不少玩家都纷纷涌入游戏。最近市面上出现一些传奇私服,被一些游戏公司利用来诱导玩家充值,骗取钱财。
案例:(来源于网络)
上个月初的时候,吕某闲来无事就刷了会新闻,看到一个游戏广告弹出,可能是因为情怀吧就点击下载了,进入之后感觉画质一般,但之前的传奇游戏场景还在,就玩了一下,第二天再上线的时候,不停的弹出通知,说什么 顶榜捐赠可得多少分红之类的,我去看了一下《我要捐献上榜》,本区可得分红有15万多,目前该榜第一名捐赠顶榜了1万多,于是吕某就问了下游戏客服这个返利是不是真的,客服回复真实有效,只要在规定的时间内成功冲到榜首即可。
然后吕某就试了一下,先充值了2万,结果真的到了榜首,充值完之后一直保持了好久,眼看着时间快到了,结果上次那个榜首又充值了1万超过吕某。就这么来来回回的弄,一两个晚上就充值了28万多。每次都是时间到那个点就超过吕某拿下榜一。
吕某觉得很奇怪,便在网上搜索相关信息,才发现跟他经历相同的人数不胜数
“托”是否违法?
从理论上来讲,网游“托儿”的行为属于诈骗。然而,对普通人来讲,取证却是非常难的。玩家没有调查权,而指望游戏公司给你内部资料,或者让他们提供证据证明自己违法,那可不是一件简单的工作。所以,大部分“托儿”都没有被追究法律责任。这也是“托儿”如此泛滥的原因之一。其实游戏托的手段无非就是刺激、引战、美女的套路。游戏公司利用玩家的负面情绪,让玩家失去理智进行斗富,从而赚取大量利润。
游戏被骗不要慌,保持冷静,收集好相关的证据,达到以下几点基本上都是可以依法退回的:
1、游戏还在运作;
2、有与业务员,游戏托有聊天记录;
3、有充值流水或是转账记录;
4、交易操作在三个月以内;
一旦发现被骗,不要乱了方寸,应该冷静思考找出解决问题的最佳方式,千万不要主动跟平台起冲突,要收集好各类证据。在第一时间抓住问题的关键!还要倚靠您自己的慧眼灵心,希望您做出明智的选择,开创一番事业。可以联系笔者公众号“小郑法援”小郑这边也祝福您生活愉快,关注小郑让您生活不迷路。
传奇开私服该如何选择?
中央处理器,作为计算机系统的运算和控制核心,是信息处理、程序运行的最终执行单元,CPU是计算机中负责读取指令,对指令译码并执行指令的核心部件,中央处理器主要包括两个部分,即控制器、运算器,其中还包括高速缓冲存储器及实现它们之间联系的数据、控制的总线。目前市面主流服务器CPU有至强L5620、L5630、L5639等i3、i5、i7以及至强E5系列E5-2660v2 CPU【10核20线程,22纳米,主频2.2GHz】。还有即将上架的I9系列CPU,主频3.6GHz,i9主要是应用在图形设计、视频处理、游戏开发等专业领域,这些领域对于CPU性能的要求理论上是无上限的,越高越好的内存(Memory)也被称为内存储器和主存储器,其作用是用于暂时存放CPU中的运算数据,以及与硬盘等外部存储器交换的数据,只要计算机在运行中,操作系统就会把需要运算的数据从内存调到CPU中进行运算,当运算完成后CPU再将结果传送出来,内存的运行也决定了计算机的稳定运行,一般能承载游戏运行的要求是有16G内存,不然游戏难免会有卡顿的现象硬盘是计算机最主要的存储设备,硬盘(港台称之为硬碟,英文名:Hard Disk Drive, 简称HDD,全名温彻斯特式硬盘)由一个或者多个铝制或者玻璃制的碟片组成,这些碟片外覆盖有铁磁性材料,硬盘分为两种,一种是机械硬盘,另外一种是固态硬盘(SSD),简称固盘,用固态电子存储芯片阵列而制成的硬盘,由控制单元和存储单元(FLASH芯片、DRAM芯片)组成。固态硬盘在接口的规范和定义、功能及使用方法上与传统硬盘的完全相同,在产品外形和尺寸上也完全与传统硬盘一致,但I/O性能相对于传统硬盘大大提升,多数用户的第一选择是固盘,与机械硬盘相比固盘的读写速度快、防震抗摔性、轻便、无噪音、工作温度范围大带宽用来标识信号传输的数据传输能力、标识单位时间内通过链路的数据量、标识显示器的显示能力,带宽的大小和服务器本身的速度并没有太大的关系,服务器速度的快慢主要和线路有关,线路越好我们的访问的速度就会越快。而带宽主要针对的是下载速度,上传速度和流量的大小。而服务器的带宽越大,下载的速度和上传的速度就会越快,同时访问我们服务器的人数就会越多。带宽分独享和共享带宽,独享即为独自享用机房一部分带宽资源,共享带宽即指,若一个机柜接入1G带宽,那么所有服务器都可以达到1G带宽速度,若某台机器带宽跑高便会影响其他机器的网络,目前所有的机型都是独享带宽,更适合用于软件开发、网站建设及游戏开发防护分为单防和群防,单防就是机器本身防火墙具有的防御量,群防即指机房共同拥有的一组防火墙防御量 ,租用高防服务器可以通过防火墙,数据监测牵引系统等技术来对流量性攻击进行有效的削弱,从而起到预防作用 如果是对防御有很高的要求,可选择云清洗机器,DDOS防御领域顶级设备组成,通过上层流量转化到硬件设备 然后在过滤正常协议 如果有异常流量进去 就会被硬件设备清洗掉,也就是所谓的云清洗,按防御量清洗攻击量,也称无限死扛
传奇私服的演变
回忆起第一次接触传奇私服是2002年的时候,那时的传奇私服是真正意义上的纯绿色的传奇,没有太多的花里胡哨,没有现在的坑人模式,很纯粹的娱乐PK打怪。
当年玩传奇私服主要是因为是学生没什么零花钱,充值不起当时热血传奇的点卡。依稀记得当时的沉默版本,绿玉裁决、绿玉屠龙、麻痹戒指、传送戒指等等,是当时各位大佬互相争夺的装备。我当时只是一个小马仔,经常跟着自己一个网吧的人,在土药PK。捡到一把绿玉屠龙当时能让你成为网吧的话题性人物。
那时候的网吧,百分之九十九的人都是玩传奇的,玩传奇私服的人逐渐超过热血传奇。每天相约组队打装备和PK那是家常便饭了。
当时的传奇私服版本不是特别多,但玩的都很有意思。现在的传奇私服已经非常商业化,没有的当年的那种味道。虽然偶尔见到当年那复古的版本,但已经找不到当年一起组队打怪PK的你了。时光消逝,你已不在年少。
现在的传奇私服实在是有太多的版本,非合击和合击版本。单单非合击里面就包囊了至少几十个版本,合击的也分太多的版本了。
下期我会说说非合击的一些热门的版本。
传奇私服暗藏杀机,亡灵病毒肆虐江湖
概况
以《传奇》为代表的各大游戏私服非法运营活动长期泛滥,在国内游戏地下黑产圈内堪称独树一帜,围绕游戏暴利的争夺导致各大私服运营者之间斗争加剧,频繁利用网络劫持、DDOS等技术手段进行”攻城掠地”,所以私服客户端一直都是顽固病毒家族繁殖传播的沉疴宿疾。为了对抗竞争者、外挂和安全厂商,私服客户端经常捆绑各类Rootkit/Bootkit类顽固病毒,并且盗用冒用正常软件数字签名逃避查杀防御,采用VMP等虚拟机强壳保护对抗分析。作为刚性强需求,普通游戏用户会往往无视安全软件查杀拦截提示,反而主动放行恶意驱动模块的加载,最终导致网络浏览异常、系统蓝屏崩溃、感染盗号木马等严重安全后果。
近期,毒霸安全团队通过“捕风”系统再次监测到一类劫持Rootkit病毒家族的活跃迹象,该病毒家族主要通过各类私服客户端进行捆绑传播,主要通过TDI过滤、DNS劫持、HTTP(s)注入、HOSTS重定向等技术手法篡改用户系统网络数据包,将正常网页访问劫持引流至指定私服网站,并利用安全软件云查杀数据包屏蔽、关机回调重写等手段实现对抗查杀,此外,该家族还针对私服运营竞争对手常用的病毒驱动签名进行屏蔽对抗,实现长期稳定劫持控制用户的目的。
根据其模块PDB路径中的项目名称”fk_undead”,我们将其命名为” 亡灵 ” 家族。 从我们的长期监控数据看,该家族近两年非常活跃,从2017年初开始盗用正规厂商数字签名频繁变种传播,本次变种版本最早出现于2018年10左右,目前该家族呈现活跃趋势,全网累计感染量预估超过50万。
技术分析
该病毒的主要运行流程如下:
病毒驱动从恶意传奇私服客户端层层释放而来,根据系统版本的不同,最终释放不同的驱动文件,我们以其中一个样本为例。
用户打开传奇私服客户端之后,程序释放ntprint.exe到TEMP目录下,ntprint.exe主要负责上报相关配置信息到指定服务器,上报完成后会下载http://183.2.193.147:11153/msvcdlx*.dat到本地,而这个msvcdlx*.dat又会下载4个驱动文件到本地,这4个驱动文件的大致用途如下:
(1)mstxdlx*.dat
以64位系统下释放的驱动(mstxdlx64.dat)为例,它主要的作用是通过劫持用户电脑的网络以及篡改相关系统配置,从而达到拦截杀软云查询以及劫持HTTP的正常访问,具体实现方式如下:
A、注册TDI回调函数,过滤收发包
病毒驱动加载后,对TDI_SEND和TDI_SET_EVENT_HANDLER进行了处理,前者主要是负责网络数据的发包,后者则是负责对接收到网络数据进行处理,对这两个地方进行过滤处理之后,带来的效果就是访问A域名,实际打开的却是B网站。
在TDI_SEND中,通过检测360与其云端的通讯时的关键字段“x-360-ver:”,中断云查询,从而造成云查杀的失效:
在TDI_SET_EVENT_HANDLER中,收到符合规则的请求响应数据后,病毒直接修改数据包,嵌入相应的HTML框架代码进行劫持,劫持后效果如下:
以下则是被篡改插入的数据包代码:
B、 设置IE代理,劫持HTTP访问
通常在设置了TDI过滤之后,就已经实现对网络的全局管理了,而设置IE代理的目的,猜测是为了在病毒驱动被杀软清理后,依旧能够长期劫持网站访问所用。
IE的代理配置信息由云端实时下发,相关配置文件下载地址为106.14.47.210:11054/paclist.dat,可根据需要,实时变换文件内容,文件中的内容为BASE64加密后的信息,解密后为pall.ndypkh.com:50511/auto11037.pac:
链接指向一个混淆后的pac脚本文件,去混淆后内容包含大量私服网站的URL信息,当程序使用IE的代理设置,并且访问到列表中的网站时,就会被统一劫持跳转至114.55.234.27:10000(kusf.com):
根据对劫持名单的梳理,除去私服网站,被劫持跳转的部分主流网站还有:
C、创建关机回调,劫持DNS和自更新
在关机回调中,该病毒驱动主要做了劫持DNS和自更新这两件事情。
通过访问106.14.47.210:11054/dnlist.dat下载劫持的DNS配置信息,然后在关机回调中设置电脑的DNS,从而完成DNS的修改劫持,虽然目前被修改的DNS是正常的,但由于此配置信息由云端下发,所以不排除后期病毒作者会设置恶意的DNS配置信息:
接着,病毒又会访问120.77.36.184:11054/mstxdlx64_up.dat,下载最新版本的驱动文件,并且随机命名保存,然后以服务的方式在下次开机时自启动,完成更新:
D、 创建映像加载回调,拦截其它病毒运行
在映像加载回调中,为了确保被感染的电脑能够被自己成功劫持,当检测到当前加载的是驱动程序时,还会对比签名是否为黑名单中的签名(黑名单从106.14.47.210:11054/bctlist.dat下载而来),若符合拦截规则,则直接禁止加载,黑名单中的驱动签名如下,这些签名大多曾被同类型病毒盗用过,用来给自身恶意程序签名:
E、 创建注册表回调,保护自身启动
在注册表回调中,若发现有对IE代理设置和驱动服务类注册表项的操作,则直接拒绝访问,防止相关注册表项被修改。
除此之外,病毒还会循环枚举注册表回调函数的地址,若检测到被删除,则会再次注册回调函数,这么做为了防止用户利用pchunter之类的ARK工具对回调函数进行删除操作,使病毒难以被手动清除。但如果是病毒程序自身升级需要修改相关的注册表项时,则会利用开关标记来暂停对相关注册表项的保护。
F、 下载配置信息,实时更新劫持信息
上述的整个劫持的流程,无需与3环进程交互,完全由0环的驱动实现,而相关的配置信息,也统一从远程服务器下载,具体的配置文件信息如下:
(2)msdvdlx*.dat
该驱动加载后,会在下次开机时,劫持svchost进程对本地hosts文件的访问,本地hosts的基本作用是把一些常用的域名和IP关联起来,当用户输入一个网址时,会先从本地的hosts文件寻找对应的IP,从而加速解析的速度,但如果劫持了本地hosts文件的话,就可能返回错误的IP地址。
该病毒驱动主要通过注册一个关机回调函数,在该回调函数中加载释放netmsvc.dll到system32目录下,然后注册NetMSvc这个服务项,以确保之后每次开机都能正常加载这个DLL。而netmsvc.dll又释放驱动cbfltfs3.sys到了TEMP目录下,这个cbfltfs3.sys是Callback Technologies公司提供的一个的文件过滤器驱动:
其封装了大量的文件操作API供使用者使用,在netmsvc.dll中,通过添加对hosts文件的拦截规则,即:当svchost进程访问etc目录下的hosts文件时,则会重定向到ringend.mid:
ringend.mid这份劫持名单,由netmsvc.dll从http://106.14.47.210:11153/hstslist.dat下载而来,伪装成系统声音文件保存在C:Windowsmedia下,其内容则是被劫持的域名和要跳转到IP,部分会被劫持的网站截图如下:
当访问的正常网站被劫持后,访问到的结果如下:
而msdvdlx*.dat自己也会实时从120.77.36.184:11153/msdvdlx32_up.dat下载更新,升级自身:
(3)mshsdlx*.dat
该驱动主要用于安装根证书,从而劫持使用了HTTPS的网站。
驱动加载后,会释放证书文件到c:WindowsSSL下并安装,释放出来的Sample CA 2.cer是一个根证书,会以受信任的根证书颁发机构形式安装到系统中,这一步主要是为了后续在对HTTPS网站进行劫持时,浏览器不会发出警告,而这也是常见的中间人攻击的方式。
相关的劫持列表信息会从http://106.14.47.210:11153/nflist.dat下载,之后访问未被劫持HTTPS网站时,会发现证书为:
而当你访问被劫持的HTTPS网站时,则会在网页中插入跳转代码,跳转到设置好的私服页面,被劫持的部分规则如下:
(4)msadsdlx*.dat
该驱动会下载运行msadapdlx*.dat,由于下载链接已失效,暂不清楚具体行为,不过根据PDB的名称fk_adswindll*.dll,猜测可能用于广告目的。
IOC
PDB信息:
D:Workgitdriverfk_undeadtempobjrel_x64fk_drv64fk_drv.pdbD:Workgitdriverfk_undeadtempobjrel_x32fk_maindrvfk_maindrv.pdbD:Workgitdriverfk_undeadtempobjrel_x32fk_svcsdllfk_svcsdll.pdbfk_adswindll32.pdbfk_netfltdll32.pdb
MD5:
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域名信息:dlx.qyrgy.comdlx1.qyrgy.com183.2.193.147106.14.47.210120.77.36.184180.76.235.211(酷搜服 kusf.com)ssyl.jbjfrx.com:31355182.61.55.53:82/index2.html
*本文作者:安全豹,转载自FreeBuf.COM