网络游戏登录器暗藏盗号木马 盗取玩家账户

　　随着网络游戏的流行，各类针对玩家的服务也应运而生，包括一些未经游戏厂商授权的服务。游戏私服就是其中一种。通常网络游戏都是付费服务，需要玩家买点卡或使用信用卡进行消费。而游戏私服最吸引人的地方就是它使用免费，并且玩家可以相对容易地练级或赚取装备。然而，由于这些游戏私服并未得到官方机构的安全认可或测试，其安全性和可靠性都非常值得怀疑。若玩家使用这类游戏私服，很可能会“引狼入室”，给电脑带来潜在的安全威胁。最近，我们就检测到一种利用游戏私服登录器，插入木马程序，盗取用户资料的新伎俩。

　　病毒编写者将盗取玩家游戏账户信息的Infostealer.Gampass 木马病毒同游戏私服的登录器捆绑。当玩家点击游戏文件的图标，启动该游戏时，其实他同时启动了两个程序：首先是Infostealer.Gampass木马病毒，然后才是网络游戏本身。由于执行了两个进程，用户可能会感觉到登陆窗口的出现比平时慢了一些(图一)。不过，通常用户会以为这是由于系统运行速度慢，或电脑配置不够高造成的，而不会去探究真正的原因—病毒已入侵电脑，正准备盗取用户登录名和密码。

　　图1

　　下面的截图展示了带病毒的游戏程序运行时的情况。图二是玩家点击游戏文件之前，我们可以看到文件夹中只有这个游戏文件本身。图三是玩家点击游戏文件之后，我们可以看到文件夹中立即出现了另一个神秘的文件-–这其实就是Infostealer.Gampass木马病毒所释放的盗取玩家游戏账户信息的木马程序。

　　图2

　　图3

　　此外，这个病毒的文件的“神秘”之处还在于它执行以后，可以不留痕迹地快速从文件夹中消失。所以，当游戏私服的登陆画面出现时，这个病毒文件已经从当前文件夹中被删除掉。由于玩家通常在启动游戏时不会注意文件夹中发生了什么，因此这个木马病毒可以很容易的逃过玩家的眼睛。

　　下图四中的b.bat文件就是将木马程序从游戏文件夹中移除的“幕后黑手”。

　　图4

　　不过，从文件夹中消失不代表这个Infostealer.Gampass木马程序就从计算机中消失了。Infostealer.Gampass通常会自我复制一个备份，并伪装成一个GIF文件藏匿于计算机中。如下图五中所示，Infostealer.Gampass的备份看起来是一个名为 jxsjwsasystem.GIF的“图形“文件;然而事实上，它却是一个可执行文件。

　　图5

　　同时，这个木马病毒还会释放一个.dll系统服务文件(如图六所示)。这样，当用户重新启动计算机或再次开机时，该 .dll系统服务文件会自动运行，并准备再次盗取玩家的游戏账户信息。

　　图6

　　如今，各类网络陷阱层出不求，病毒编写者总能不断创造出让人意想不到的手段，侵入用户计算机，窃取资料信息。因此，赛门铁克安全专家建议，若发现计算机硬盘或移动存储设备中含有可疑文件，可开启已升级病毒定义库的赛门铁克防病毒软件对其进行扫描查杀。确保安全后方可继续使用。