随着网络游戏的流行,各类针对玩家的服务也应运而生,包括一些未经游戏厂商授权的服务。游戏私服就是其中一种。通常网络游戏都是付费服务,需要玩家买点卡或使用信用卡进行消费。而游戏私服最吸引人的地方就是它使用免费,并且玩家可以相对容易地练级或赚取装备。然而,由于这些游戏私服并未得到官方机构的安全认可或测试,其安全性和可靠性都非常值得怀疑。若玩家使用这类游戏私服,很可能会“引狼入室”,给电脑带来潜在的安全威胁。最近,我们就检测到一种利用游戏私服登录器,插入木马程序,盗取用户资料的新伎俩。
病毒编写者将盗取玩家游戏账户信息的Infostealer.Gampass 木马病毒同游戏私服的登录器捆绑。当玩家点击游戏文件的图标,启动该游戏时,其实他同时启动了两个程序:首先是Infostealer.Gampass木马病毒,然后才是网络游戏本身。由于执行了两个进程,用户可能会感觉到登陆窗口的出现比平时慢了一些(图一)。不过,通常用户会以为这是由于系统运行速度慢,或电脑配置不够高造成的,而不会去探究真正的原因—病毒已入侵电脑,正准备盗取用户登录名和密码。
图一
下面的截图展示了带病毒的游戏程序运行时的情况。图二是玩家点击游戏文件之前,我们可以看到文件夹中只有这个游戏文件本身。图三是玩家点击游戏文件之后,我们可以看到文件夹中立即出现了另一个神秘的文件-–这其实就是Infostealer.Gampass木马病毒所释放的盗取玩家游戏账户信息的木马程序。
图二
图三
此外,这个病毒的文件的“神秘”之处还在于它执行以后,可以不留痕迹地快速从文件夹中消失。所以,当游戏私服的登陆画面出现时,这个病毒文件已经从当前文件夹中被删除掉。由于玩家通常在启动游戏时不会注意文件夹中发生了什么,因此这个木马病毒可以很容易的逃过玩家的眼睛。
下图四中的b.bat文件就是将木马程序从游戏文件夹中移除的“幕后黑手”。
图四
不过,从文件夹中消失不代表这个Infostealer.Gampass木马程序就从计算机中消失了。Infostealer.Gampass通常会自我复制一个备份,并伪装成一个GIF文件藏匿于计算机中。如下图五中所示,Infostealer.Gampass的备份看起来是一个名为 jxsjwsasystem.GIF的“图形“文件;然而事实上,它却是一个可执行文件。
图五
同时,这个木马病毒还会释放一个.dll系统服务文件(如图六所示)。这样,当用户重新启动计算机或再次开机时,该 .dll系统服务文件会自动运行,并准备再次盗取玩家的游戏账户信息。
图六
如今,各类网络陷阱层出不求,病毒编写者总能不断创造出让人意想不到的手段,侵入用户计算机,窃取资料信息。因此,赛门铁克安全专家建议,若发现计算机硬盘或移动存储设备中含有可疑文件,可开启已升级病毒定义库的赛门铁克防病毒软件对其进行扫描查杀。确保安全后方可继续使用。
Message Edited by Livian Ge on 03-18-2009 12:55 AM