超级巡警安全中心近日监测到一款盗取游戏账号的木马(Trojan-PSW.Win32.Kykymber.tzt),该木马及其变种可以盗取搜狐畅游旗下的大部分游戏的账号,其中包括鹿鼎记、刀剑、大话水浒、天龙八部等。木马运行后,将释放多个文件,重启游戏程序,截获用户的帐号和密码并发送给攻击者。
以下是超级巡警针对鹿鼎记的盗号过程进行的分析:
1、当用户运行木马之后,木马释放以下病毒体:
a.C:\shengsheng.exe
b.%SYSTEMROOT%\system32\dbr31005.ocx
c.%SYSTEMROOT%\system32\dbr99008.ocx
d.%SYSTEMROOT%\system32\gbvgbv31.exe
2、木马将两个.ocx文件注入到explorer.exe进程中,用以隐藏自身。
3、将dbr99008.ocx与输入法关联,达到开机启动木马的目的。
4、修改游戏主程序的内存,HOOK住其中几个关键函数,包括游戏登陆时的服务器、游戏区、账号、密码等,用以截获用户的登陆信息。
5、遍历进程LDJGame.exe,并结束该进程。
6、用户重新登陆游戏,木马截获游戏账号信息,并发送给以下几个服务器:
a.http://*****.tlysj.com:9962/frb/rb.asp
b.http://*****.tlysj.com:9962/ft.asp
c.http://*****.tlysj.com:9962/Fnbx10/just.asp
d.http://**.71wap.com:9962/Fnbx10/just.asp
该类型木马最早是在国家发改委的官网上被我们捕获的,黑客通过攻击发改委网站,并植入网马,对浏览网站的用户进行攻击。后来我们又陆续在多个挂马网站与外挂网站上捕获到该木马的变种。通过分析发现,木马背后应该有一个很大的利益集团在进行操控,他们不仅仅是盗取一种游戏的账号,而是进行模块化的开发,对搜狐畅游旗下的多款游戏进行攻击。虽然搜狐畅游已经对游戏做了相应的保护措施,但是还是无法逃脱黑客盗号的魔爪。
超级巡警安全中心提醒用户,应该做到以下几点来防范游戏账号被窃:
1、玩游戏的时候尽量不要使用外挂进行游戏,因为大部分的外挂都会捆绑恶意软件或者留下后门来盗取用户的账号,如果一定要使用外挂,也应该去一些可信的网站进行下载。
2、如果你发现游戏账号异常,应立即修改自己的游戏密码,防止虚拟财产失窃。
3、安装超级巡警杀毒软件,对系统进行实施防护,保障上网安全,保护游戏账号信息泄露。
4、如果你发现你已经被木马入侵,应当立即使用超级巡警杀毒软件进行全盘扫描,对木马进行有效的查杀。