隨著暗黑3玩傢安全意識的提高,通過泄漏信息盜號的現象已經在逐步減少。雖然猜密碼不行瞭,但盜號者是不會放過盜號木馬這種打劫玩傢的傳統方式的。據來自AVG中國病毒實驗室的最新消息,他們剛剛截獲一款專門針對暗黑3的木馬,並且該木馬采用瞭比較少見的感染遊戲文件的方式,還附送魔獸世界木馬一枚,提醒玩傢們小心防范瞭。
AVG中國病毒實驗室安全人員給我們詳細分析瞭這種木馬的危害方式,據瞭解該木馬來源於群郵件和群共享,名為《暗黑3拍賣行使用詳解》。
看起來像一個自解壓包,但無法用解壓軟件打開。運行後有提示。
其實數據並沒有損壞。這個母體做的事情是釋放出 read.me 和rt.b兩個dll文件並且加載他們。然後彈出一個提示迷惑觀眾。
沒有讓大傢失望,read.me是針對暗黑3的木馬,rt.b是附贈的魔獸世界木馬。read.me 載入後,在全盤搜索暗黑3 主程序,Diablo III.exe,找到後對其進行改寫。改變其入口,指向一段自己寫入的指令,自己的指令執行完後再跳入原始入口地址。並釋放一個dll到暗黑3目錄下,取名為patch.html。
可以看到,病毒感染暗黑3主程序的目的就是每次運行時首先加載patch.html。Patch.html是執行盜號的部分。
安全分析人員詳解該木馬如何防禦
病毒查找在進程中查找notepad.exe 並向其發消息,獲得文本。因此使用記事本保存密碼的童鞋要小心瞭。
病毒掛鉤遊戲窗口消息處理函數,已獲得用戶鍵盤輸入。最後獲得瞭所有信息之後發送郵件到指定的郵箱。
從分析上看目前盜取密碼隻是通過鍵盤截獲和記事本截獲,綁定瞭認證器的玩傢仍然可以免於盜號。
可以看出木馬作者對暗黑3內部已經比較瞭解,隨著黑客技術研究的深入,此類盜號木馬會層出不窮。因此AVG提醒廣大玩傢,謹慎運行未知程序,留意信息安全,綁定認證器,保持防病毒軟件持續更新。
玩傢可以觀察自己的遊戲目錄下是否有patch.html或者驗證Diablo III.exe文件簽名來確認自己有沒有中此木馬。
此病毒以及衍生物已被AVG檢測為PSW.OnlineGames4.MMC,安裝並更新至AVG最新版本的玩傢可以安心遊戲。
Orignal From: 暗3木馬感染遊戲主程序 附送WOW木馬
留言列表
