中一送一！《暗黑破壞神3》木馬附帶盜取WOW賬號(hào)

隨著《暗黑3》玩家安全意識(shí)的提高，通過(guò)泄漏信息盜號(hào)的現(xiàn)象已經(jīng)在逐步減少。雖然猜密碼不行了，但盜號(hào)者是不會(huì)放過(guò)盜號(hào)木馬這種打劫玩家的傳統(tǒng)方式的。 在開(kāi)服的近兩月時(shí)間里，地下盜號(hào)產(chǎn)業(yè)也完成了木馬的開(kāi)發(fā)周期。近日AVG中國(guó)病毒實(shí)驗(yàn)室截獲一款專門(mén)針對(duì)《暗黑3》的木馬，并且該木馬采用了比較少見(jiàn)的感染游 戲文件的方式，還附送《魔獸世界》木馬一枚哦。

木馬來(lái)源于群郵件和群共享，名為《暗黑3拍賣(mài)行使用詳解》

看起來(lái)像一個(gè)自解壓包，但無(wú)法用解壓軟件打開(kāi)。運(yùn)行后彈出如下提示

其實(shí)數(shù)據(jù)并沒(méi)有損壞。這個(gè)母體做的事情是釋放出 read.me 和rt.b兩個(gè)dll文件并且加載他們。然后彈出一個(gè)提示迷惑用戶。

沒(méi)有讓大家失望，read.me是針對(duì)《暗黑3》的木馬，rt.b是附贈(zèng)的《魔獸世界》木馬。

read.me載入后，在全盤(pán)搜索《暗黑3》主程序“Diablo III.exe”，找到后對(duì)其進(jìn)行改寫(xiě)。改變其入口，指向一段自己寫(xiě)入的指令，自己的指令執(zhí)行完后再跳入原始入口地址。并釋放一個(gè)dll到《暗黑3》目錄下，取名為patch.html。

改寫(xiě)后的Diablo III.exe：

可以看到，病毒感染暗黑3主程序的目的就是每次運(yùn)行時(shí)首先加載patch.html（Patch.html是執(zhí)行盜號(hào)的部分）。

病毒查找在進(jìn)程中查找notepad.exe 并向其發(fā)消息，獲得文本。因此使用記事本保存密碼的童鞋要小心了。

病毒掛鉤游戲窗口消息處理函數(shù)，已獲得用戶鍵盤(pán)輸入。

最后獲得了所有信息之后發(fā)送郵件到指定的郵箱。

從分析上看目前盜取密碼只是通過(guò)鍵盤(pán)截獲和記事本截獲，綁定了認(rèn)證器的玩家仍然可以免于盜號(hào)。

可以看出木馬作者對(duì)暗黑3內(nèi)部已經(jīng)比較了解，隨著黑客技術(shù)研究的深入，此類盜號(hào)木馬會(huì)層出不窮。因此AVG提醒廣大玩家，謹(jǐn)慎運(yùn)行未知程序，留意信息安全，綁定認(rèn)證器，保持防病毒軟件持續(xù)更新。

玩家可以觀察自己的游戲目錄下是否有patch.html或者驗(yàn)證Diablo III.exe文件簽名來(lái)確認(rèn)自己有沒(méi)有中此木馬。

此病毒以及衍生物已被AVG檢測(cè)為PSW.OnlineGames4.MMC，安裝并更新至AVG最新版本的玩家可以安心游戲。