作者:趋势科技资深威胁研究人员LionGu
截至2009年12月,约有2亿6千5百万,或全中国境内68.9%的因特网使用者,曾玩过在线游戏。中国共计有750个在线游戏供货商,总收益约达250亿人民币。
引言
在线游戏在中国非常热门。事实上,截至2009年12月为止,约有2亿6千5百万,或全中国境内68.9%的因特网使用者,曾玩过在线游戏。同一时期中国共计有750个在线游戏供货商,总收益约达250亿人民币。
在线游戏玩家不只在游戏上花许多时间,同时也花了高额的金钱。为了提升在线游戏体验,玩家投入金钱购买虚拟资产如黄金,手工艺品;以及如能量升级(powerleveling),黄金农场(goldfarming),及其它在数个在线交易平台以实体货币交易(realmoneytrading,简称RMT)等类的服务。多数的在线交易平台皆为公开的市场,任何人皆可使用简易的付款机制来买卖虚拟资产或服务。种种因素皆促使RMT实体货币交易市场逐渐扩大,虚拟资产收益总额在2009年约达人民币340亿元。
网络犯罪份子当然不会放过如此庞大的商机,因此制作出Trojan木马工具组来偷盗玩家账户凭证,并贩卖受害玩家所累积的虚拟资产。网络犯罪份子因此更能轻易地取得金钱,也使得在线游戏Trojan木马成为中国一大安全威胁。
在线游戏Trojan木马的繁衍改变了地下经济。地下经济出现了新角色,如将Trojan木马,以及虚拟资产窃盗者及买家。
本研究报告将介绍一款热门的在线游戏Trojan木马工具组,名为响尾马(XiangWeiMa,简称XWM)的工具组,即响尾木马之意,其主要的攻击目标为中国的热门在线游戏。
XWM工具组概论
XWM工具组包括21个附有后台伺服组件的Trojan木马产生器,每一个皆针对一款中国热门的在线游戏。多数的目标对象皆是中国当地的在线游戏。
图1、XWM工具组Trojan木马产生器
XWM工具组的目标特别是下列的中国在线游戏:
后台服务器是一个接收Trojan木马传送所窃得数据的网站。网络犯罪份子利用这个被他们称之为信箱的网站储存偷盗得来的数据。
图2、XWM工具组后台伺服组件
后台服务器是一个接收Trojan木马传送所窃得数据的网站。
木马产生器
XWM工具组中的Trojan木马产生器需要先行设定才能用以产生新的Trojan木马。使用者需要将后台服务器的URL输入到工具组的功能设定模块中,才能接受所制作出来的Trojans木马所偷盗得的资料。
图3、XWM工具组功能设定窗口
设定模块同时备有压缩选项,用户可选择是否压缩所制作的Trojans木马。XWM工具组使用一个叫做Upack的封装器来压缩恶意使用者所制作的Trojans木马。
图4、使用Upack来压缩使用XWM工具组制作的Trojans木马
在按下制作(Generate)键后,XWM工具就会产生新的.EXE檔Trojan木马。
XWMTROJANS木马及组件
当执行XWMTrojan木马时,会将下列档案投掷入受感染的系统中:
![]()
%system32%/{4个随机字母}.dll
![]()
%system32%/{4个随机字母}.cfg
![]()
%system32%/drivers/msacpe.sys
XWMTrojan木马的恶意程序其实相当简单。首先会产生一个.DLL和一个.CFG文件到被感染的系统中,这两个程序皆使用4个随机字母做为名称。接着将.DLL档案载入系统内存中。这个档案程序具有下列主要功能:
![]()
终止安全软件运作。会终止和一个中国安全软件供货商360相关的数个运作。
![]()
产生一个启动程序并制作与其相关的服务。产生一个名叫msacpe.sys的启动程序,接着制作出名为mseqsv的服务,并利用前者做为图片文件。其作用在做为此恶意软件的网络嗅探器,可从被感染的系统偷盗数据。
![]()
偷盗在线游戏数据。为达此目的,程序会搜寻在线游戏配置文件案如config.ini,info.ini及其它含有以下数据的档案:
![]()
使用者名称
![]()
在线游戏服务器名称
![]()
在线游戏服务器所在区域
程序接着搜寻与在线游戏相关的流程,并读取其记忆空间,以便窃取以下数据:
![]()
游戏角色
![]()
游戏层级
![]()
虚拟货币金额
当msacpe.sys找到与目标在线游戏相关的流程时,便会将程序代码注入程序中,并从程序中取得如密码等的数据。
![]()
将窃得的数据传送给后台服务器。程序同时也会将到手的数据传送到网络犯罪份子所持有的后台服务器。程序使用以下字符串做为URL的参数:
?a=%s&s=%s&u=%s&p=%s&r=%s[%s]&l=%d&m=%d&pin=%s
上述的参数有8种变化如下:
![]()
a=在线游戏服务器所在区域
![]()
s=服务器名称
![]()
u=使用者名称
![]()
p=密码
![]()
r=角色
![]()
l=层级
![]()
m=虚拟货币
![]()
pin=个人辨识码(personalidentificationnumber,简称PIN)
Trojan木马会使用所说的参数将偷来的数据回传给后台服务器。msacpe.sys档案会协助.DLL档案偷盗数据。.CFG档因此只包含加密的后台服务器URL,在设定Trojan木马产生器时加入。
待续...
分享到:
相关推荐
驭宝网络:淘宝seo隐形降权内幕解密.pdf驭宝网络:淘宝seo隐形降权内幕解密.pdf驭宝网络:淘宝seo隐形降权内幕解密.pdf驭宝网络:淘宝seo隐形降权内幕解密.pdf驭宝网络:淘宝seo隐形降权内幕解密.pdf驭宝网络:淘宝...
解密:网络营销推广实战和流量变现公式.pdf解密:网络营销推广实战和流量变现公式.pdf解密:网络营销推广实战和流量变现公式.pdf解密:网络营销推广实战和流量变现公式.pdf解密:网络营销推广实战和流量变现公式.pdf...
网络文章写作:弹性云服务器十大功能解密.docx网络文章写作:弹性云服务器十大功能解密.docx网络文章写作:弹性云服务器十大功能解密.docx网络文章写作:弹性云服务器十大功能解密.docx网络文章写作:弹性云服务器...
.NET下的动态解密与反动态解密.
一个完整的网络木马解密实录 经过对网马解密的讲解,相信大家对网页挂马有了初步的了解,对网页解密也有了一定得认知,今天想通过一个具体 的实例来讲解,如何通过freshow来分析一个网站是否被挂马,如被挂马怎样来...
游戏封包解密.把游戏10进制转换为16进制
IP网络报文透明加解密系统测试版 一、简介: IP网络报文透明加解密系统采用内核级实现透明加解密保证程序性能达到最 佳,加密IP报文保证数据在网络传输过程安全性。 一、运行环境 1. fedora 13 系统(内核版本:...
unity解密游戏系统Adventure Creator Unity商店的精品资源 适合二次开发和学习使用 是个Unitypackage包 , 创建个空项目直接导入就行了 如果打开报错请切换编译器版本或者下载最新编译器就行了 unity解密游戏系统...
网络木马解密参考手册 近几年国内网站挂马呈现井喷式的增长,网马解密也逐步为人们所重视,本文介绍了国内常见的网马加密方式,希望能够对新手分析网马提供一些帮助。 花一上午的时间,翻遍硬盘找到的一些网马的例子...
22.深度解密二十二:互联网课程及授课(售课)模式的网络营销方法.docx22.深度解密二十二:互联网课程及授课(售课)模式的网络营销方法.docx22.深度解密二十二:互联网课程及授课(售课)模式的网络营销方法.docx22.深度...
网络木马 解密讲解网络木马破解之道~~来自 卡饭论坛
倒水解密游戏源码 游戏介绍: 《倒水解密》是一款很不错的益智类游戏 有N个容量不同的瓶子,指定「将a升水倒入容量为b的瓶子」。 游戏要求通过装水、倒水,达成给定的目标。 游戏操作方式如下: ?在瓶子上双击...
cocos-jsc解密加密程序,需知道key ,这些可以通过 ida 或 Frida 获取,支持最新解密和加密。 软件截图 https://img-blog.csdnimg.cn/0657ec6a8ef44f21b75059684aee424a.png?x-oss-process=image/watermark,type_d3...
共六种PHP加解密方法, 其中包含非常给力的authcode加密函数,Discuz!经典代码(带详解) 函数authcode($string, $operation, $key, $expiry)中的...$operation:判断是加密还是解密,E表示加密,D表示解密;$key:密匙。
xlog日志解密+鼠标右键配置文件
中国银联基础加解密工具.zip
22.深度解密二十二:互联网课程及授课(售课)模式的网络营销方法.pdf22.深度解密二十二:互联网课程及授课(售课)模式的网络营销方法.pdf22.深度解密二十二:互联网课程及授课(售课)模式的网络营销方法.pdf22.深度解密...
这是我大一的C语言课程设计,程序能够实现文本文件的输入输出、加密解密和删除等功能,可以对中文文件和英文文件操作。
仅供学习之用,勿做商业用途,如有侵权,请告知删除,谢谢
揭秘数据解密的关键技术 基本信息 作者: 刘颖东 出版社:人民邮电出版社 ISBN:9787115196705 上架时间:2009-3-26 出版日期:2009 年4月 开本:16开 页码:394 版次:1-1 所属分类:计算机 > 安全 > 加密与解密 ...