2014新年开始,暴雪官方就以蓝帖提醒玩家,注意防范一个可以盗取用户游戏账号、密码及安全令牌信息的新型木马,国服玩家也受影响。有公会会长验证发现,此木马主要通过一个假冒的Curse插件网站传播,国内的360安全卫士和360杀毒都会对木马报警拦截,推荐魔兽玩家使用360防范和查杀盗号木马。
据验证,当玩家搜索“Curse客户端”,搜索结果前几页存在假冒Curse插件网站的钓鱼站点,如果通过钓鱼站下载安装包含木马的假客户端文件,电脑又没有使用有效的安全软件,木马就会盗取《魔兽世界》游戏的账号密码和安全令牌信息。对近期被盗号的玩家,暴雪蓝帖建议玩家创建一个MSInfo文件,并在启动项中寻找与“Disker”或“Disker64”相关的项目删除木马。
更简单的方法则是使用安全软件或者专杀工具。记者采访360获悉,360安全卫士已监测到最新的魔兽盗号木马,并能自动拦截和查杀该木马,用户不必担心被此木马盗号。
反病毒工程师发现,魔兽新盗号木马激活后,首先会尝试将自己添加到开机启动项,再通过注入线程强制结束魔兽世界进程的方式逼迫用户重新登陆游戏,以获取用户的游戏账号、密码以及安全令牌等信息并实时发送给盗号者。如果玩家发现游戏异常关闭的情况,应立即下载有效的安全软件进行查杀,切勿输入任何账号信息!
需要特别一提的是,在64位操作系统上,魔兽玩家需要使用360安全卫士“核晶”引擎预防此木马。由于Windows系统限制,很多安全软件在X64平台无法实现内核级防护,目前只有少数几款软件通过CPU硬件虚拟化技术能够实时拦截木马,包括国外的McAfee、Avast,国内的360“核晶”引擎。
图1 核晶引擎在64位系统拦截魔兽新盗号木马(INTEL-VT)
图2 扫描检测盗号木马
附:新型魔兽世界盗号木马简单分析
该木马可以通过盗取魔兽世界游戏账号,密码,动态口令,大区信息,同步在后台登陆被盗账号,窃取游戏金币,游戏装备等。
1、木马导出两个函数,加上入口点的dllmain,共提供3个对外的函数:
图3
分别是木马重新注册ClearSelf,删除木马的原有文件:
图4
2、修复原有注册表项到现在程序的位置:
图5
4、木马安装导出函数DW中完成,设置全局消息钩子,截取信息:
图6
5、设置木马的配置信息:
图7
6、木马写启动项注册:
图8
7、盗号,DLLMain中执行游戏盗号。
木马的一个服务器:
图9
窃取的游戏信息:(包括游戏id,大区,服务器,口令,验证码等):
图10
木马打出的调试信息:
图11
木马的安装程序,复制结束游戏进程,迫使用户再次登陆游戏:
图12
此类木马的一个管理工具:
图13
盗号木马工作流程:
1、释放木马文件,设置全局钩子,等待抓去游戏信息;
2、注册开机自启动,保证木马长期存活;
3、结束wow.exe进程,迫使游戏掉线,等待用户再次登陆游戏;
3、抓取用户登录信息,同步发给后台,同时由后台控制干扰游戏正常登录;
4、利用这段时间,盗号者迅速通过抓去的账号,密码,动态口令等信息登录游戏;
5、洗劫游戏金币,游戏装备。