暗3木馬感染游戲主程序并附送WOW木馬

2012年07月10日 08:56

隨著暗黑3玩家安全意識的提高，通過泄漏信息盜號的現(xiàn)象已經(jīng)在逐步減少。雖然猜密碼不行了，但盜號者是不會放過盜號木馬這種打劫玩家的傳統(tǒng)方式的。據(jù)來自AVG中國病毒實驗室的最新消息，他們剛剛截獲一款專門針對暗黑3的木馬，并且該木馬采用了比較少見的感染游戲文件的方式，還附送魔獸世界木馬一枚，提醒玩家們小心防范了。

　　AVG中國病毒實驗室安全人員給我們詳細(xì)分析了這種木馬的危害方式，據(jù)了解該木馬來源于群郵件和群共享，名為《暗黑3拍賣行使用詳解》。

其實數(shù)據(jù)并沒有損壞。這個母體做的事情是釋放出 read.me 和rt.b兩個dll文件并且加載他們。然后彈出一個提示迷惑觀眾。

　　沒有讓大家失望，read.me是針對暗黑3的木馬，rt.b是附贈的魔獸世界木馬。read.me 載入后，在全盤搜索暗黑3 主程序，Diablo III.exe，找到后對其進(jìn)行改寫。改變其入口，指向一段自己寫入的指令，自己的指令執(zhí)行完后再跳入原始入口地址。并釋放一個dll到暗黑3目錄下，取名為patch.html。

　　可以看到，病毒感染暗黑3主程序的目的就是每次運行時首先加載patch.html。Patch.html是執(zhí)行盜號的部分。

　　安全分析人員詳解該木馬如何防御

　　病毒查找在進(jìn)程中查找notepad.exe 并向其發(fā)消息，獲得文本。因此使用記事本保存密碼的童鞋要小心了。

　　病毒掛鉤游戲窗口消息處理函數(shù)，已獲得用戶鍵盤輸入。最后獲得了所有信息之后發(fā)送郵件到指定的郵箱。

　　從分析上看目前盜取密碼只是通過鍵盤截獲和記事本截獲，綁定了認(rèn)證器的玩家仍然可以免于盜號。

　　可以看出木馬作者對暗黑3內(nèi)部已經(jīng)比較了解，隨著黑客技術(shù)研究的深入，此類盜號木馬會層出不窮。因此AVG提醒廣大玩家，謹(jǐn)慎運行未知程序，留意信息安全，綁定認(rèn)證器，保持防病毒軟件持續(xù)更新。

　　玩家可以觀察自己的游戲目錄下是否有patch.html或者驗證Diablo III.exe文件簽名來確認(rèn)自己有沒有中此木馬。

此病毒以及衍生物已被AVG檢測為PSW.OnlineGames4.MMC，安裝并更新至AVG最新版本的玩家可以安心游戲。

（編輯：Jesse）

聯(lián)系我們

郵編

100083

郵箱

ISC@isc.org.cn

地址

北京市海淀區(qū)學(xué)院路42號院
綜合部(黨群部)

010-57234929-1056

財務(wù)人事部

010-57234929-1112

宣傳部

010-57234929-1002、010-57234929-1003

網(wǎng)民權(quán)益保護(hù)部

010-57234929-1012

研究部(標(biāo)準(zhǔn)工作辦公室)

010-57234929-1039、010-57234929-1038

中國互聯(lián)網(wǎng)大會專班

18511857092
國際部

010-57234929-1128、010-57234929-1127

會員部

010-57234929-1120、1121、1122、1123、1125

監(jiān)管支撐部

010-57234929-1027

產(chǎn)業(yè)促進(jìn)部

010-57234929-1032、 010-57234929-1059

創(chuàng)新發(fā)展與人才工作部

010-57234929-1052、010-57234929-1053

北京中互網(wǎng)來信息技術(shù)有限公司

13910986745