SAY討論區

標題: 中一送一 《暗黑3》木馬附帶盜取WOW賬號 [打印本頁]

作者: 現實999    時間: 2012-7-11 11:35:08     標題: 中一送一 《暗黑3》木馬附帶盜取WOW賬號

隨著《暗黑3》玩傢安全意識的提高,通過泄漏信息盜號的現象已經在逐步減少。雖然猜密碼不行瞭,但盜號者是不會放過盜號木馬這種打劫玩傢的傳統方式的。 在開服的近兩月時間裡,地下盜號產業也完成瞭木馬的開發周期。近日AVG中國病毒實驗室截獲一款專門針對《暗黑3》的木馬,並且該木馬采用瞭比較少見的感染遊 戲文件的方式,還附送《魔獸世界》木馬一枚哦。
木馬來源於群郵件和群共享,名為《暗黑3拍賣行使用詳解》
w3ioazbtdm355.jpg
看起來像一個自解壓包,但無法用解壓軟件打開。運行後彈出如下提示
xszpdj3axzl55.jpg
其實數據並沒有損壞。這個母體做的事情是釋放出 read.me 和rt.b兩個dll文件並且加載他們。然後彈出一個提示迷惑用戶。
24rqjzq4ikv56.jpg
沒有讓大傢失望,read.me是針對《暗黑3》的木馬,rt.b是附贈的《魔獸世界》木馬。
read.me載入後,在全盤搜索《暗黑3》主程序“Diablo III.exe‘,找到後對其進行改寫。改變其入口,指向一段自己寫入的指令,自己的指令執行完後再跳入原始入口地址。並釋放一個dll到《暗黑3》目錄下,取名為patch.html
4ywxahtqt1g56.jpg
改寫後的Diablo III.exe:
d4jcneyz4ty56.jpg
可以看到,病毒感染暗黑3主程序的目的就是每次運行時首先加載patch.html(Patch.html是執行盜號的部分)。
病毒查找在進程中查找notepad.exe 並向其發消息,獲得文本。因此使用記事本保存密碼的童鞋要小心瞭
病毒掛鉤遊戲窗口消息處理函數,已獲得用戶鍵盤輸入。
o01150wsux357.jpg
最後獲得瞭所有信息之後發送郵件到指定的郵箱。
n1bez2dx1m557.jpg
從分析上看目前盜取密碼隻是通過鍵盤截獲和記事本截獲,綁定瞭認證器的玩傢仍然可以免於盜號。
可以看出木馬作者對暗黑3內部已經比較瞭解,隨著黑客技術研究的深入,此類盜號木馬會層出不窮。因此AVG提醒廣大玩傢,謹慎運行未知程序,留意信息安全,綁定認證器,保持防病毒軟件持續更新。
玩傢可以觀察自己的遊戲目錄下是否有patch.html或者驗證Diablo III.exe文件簽名來確認自己有沒有中此木馬。
此病毒以及衍生物已被AVG檢測為PSW.OnlineGames4.MMC,安裝並更新至AVG最新版本的玩傢可以安心遊戲。(文/新浪遊戲)
pmcddwgflix57.jpg

附件: [w3ioazbtdm355.jpg] w3ioazbtdm355.jpg (2012-7-11 11:35:08, 0 Bytes) / 下載次數 0
http://forum.go2tutor.com/forum.php?mod=attachment&aid=NTY4NTV8MDc4YTUyMzh8MTc4MjcxNTAxMXwwfDA%3D

附件: [xszpdj3axzl55.jpg] xszpdj3axzl55.jpg (2012-7-11 11:35:08, 0 Bytes) / 下載次數 0
http://forum.go2tutor.com/forum.php?mod=attachment&aid=NTY4NTZ8YTUyNTU4MGZ8MTc4MjcxNTAxMXwwfDA%3D

附件: [24rqjzq4ikv56.jpg] 24rqjzq4ikv56.jpg (2012-7-11 11:35:08, 0 Bytes) / 下載次數 0
http://forum.go2tutor.com/forum.php?mod=attachment&aid=NTY4NTh8ZjhmNzU1N2R8MTc4MjcxNTAxMXwwfDA%3D

附件: [4ywxahtqt1g56.jpg] 4ywxahtqt1g56.jpg (2012-7-11 11:35:08, 0 Bytes) / 下載次數 0
http://forum.go2tutor.com/forum.php?mod=attachment&aid=NTY4NjB8MzFlNGQ1NDZ8MTc4MjcxNTAxMXwwfDA%3D

附件: [d4jcneyz4ty56.jpg] d4jcneyz4ty56.jpg (2012-7-11 11:35:08, 0 Bytes) / 下載次數 0
http://forum.go2tutor.com/forum.php?mod=attachment&aid=NTY4NjF8YmZhNjk4OTl8MTc4MjcxNTAxMXwwfDA%3D

附件: [o01150wsux357.jpg] o01150wsux357.jpg (2012-7-11 11:35:08, 0 Bytes) / 下載次數 0
http://forum.go2tutor.com/forum.php?mod=attachment&aid=NTY4NjJ8YWY4YzViZGR8MTc4MjcxNTAxMXwwfDA%3D

附件: [n1bez2dx1m557.jpg] n1bez2dx1m557.jpg (2012-7-11 11:35:08, 0 Bytes) / 下載次數 0
http://forum.go2tutor.com/forum.php?mod=attachment&aid=NTY4NjN8MWY1NjY2ZjV8MTc4MjcxNTAxMXwwfDA%3D

附件: [pmcddwgflix57.jpg] pmcddwgflix57.jpg (2012-7-11 11:35:08, 0 Bytes) / 下載次數 0
http://forum.go2tutor.com/forum.php?mod=attachment&aid=NTY4NjR8MWRkZTQxOWZ8MTc4MjcxNTAxMXwwfDA%3D
作者: 切雞飯`    時間: 2012-7-11 15:36:45

有空一起交流一下  
作者: juny0385    時間: 2012-7-11 18:27:27

嚴重支持!
作者: ^^SaSabb    時間: 2012-7-11 21:20:48

一樓的位置好啊.
作者: Tung8887    時間: 2012-7-11 23:10:28

都是那麼過來的
作者: plas_hoz    時間: 2012-7-12 03:32:32

你加油吧  
作者: nh88    時間: 2012-7-12 06:07:51

支持你就頂你
作者: tomato_alex    時間: 2012-7-12 09:16:02

今天再看下
作者: 花家姐    時間: 2012-7-13 04:13:59

這個好像在其他地方看過了
作者: 津村浩介    時間: 2012-7-13 10:16:33

看起來不錯的樣子
作者: tomato_alex    時間: 2012-7-14 10:02:47

發貼看看自己積分
作者: andykom28    時間: 2012-7-15 09:31:00

估計你是沒見識過~` 呵呵  
作者: hillmen    時間: 2012-7-16 07:54:41

今天無聊來逛逛




歡迎光臨 SAY討論區 (http://forum.go2tutor.com/) Powered by Discuz! X2