“游乐星空竞技平台”被黑客植入木马 两天感染玩家过10万

　　5月18日消息，360安全中心发布紧急木马疫情公告称，一个名为“游乐星空”的游戏对战客户端软件被黑客植入木马，该木马会针对盛大传奇、魔兽世界等热门游戏盗号。据360安全卫士和360杀毒的综合查杀量统计，两天内已有超过10万名游戏玩家因使用“游乐星空竞技平台”而中招。360安全中心紧急呼吁相关网民尽快使用安全软件进行全盘扫描查杀。

　　据悉，“游乐星空竞技平台”是一套集成了休闲棋牌游戏和电子竞技游戏为一体的客户端软件。由于该竞技平台软件被植入木马，当玩家下载使用后，木马也就会随着竞技平台侵入电脑，顺势对玩家的游戏实施盗号。据360安全专家石晓虹博士分析，之所以会出现这种情况，很可能是由于该软件的开发人员电脑感染了木马，进而影响到大批“游乐星空竞技平台”用户。

　　石晓虹介绍说，“游乐星空竞技平台”被植入的木马不光能对游戏盗号，还会留下一个极具危害的间谍帐户。也就是说，木马会秘密创建一个管理员权限的隐藏帐户，并打开一个便于黑客远程控制的“远程桌面”端口，即便木马本身被杀掉，黑客也可以通过这个“远程桌面”遥控中招电脑，再次带来新的木马病毒，而普通网民难以察觉。

　　石晓虹建议“游乐星空”的玩家尽快全盘扫描查杀木马，同时还应该使用360安全卫士的“体检”功能，把木马预留的间谍帐户“远程桌面”端口关闭，以免遭受更严重的损失。

　　截至发稿前，“游乐星空竞技平台”官方网站尚未就此事发布公告和安全建议。

　　附1、使用360安全卫士“体检”功能关闭“远程桌面”

　　附2、“游乐星空竞技平台”被植入木马行为分析报告

　　1、盗取盛大传奇、魔兽世界的游戏帐号，并且会提交密保截图到黑客指定的服务器，用于破解游戏密保。

　　2、可以分别劫持LPK.dll和USP10.dll动态库文件，即该木马文件可以为LPK.dll或USP10.dll。

　　3、为系统添加一个隐藏的管理员帐户：tjg$，密码为kincom000，然后打开中招电脑的“远程桌面”(3389端口)，同时提交中招用户机器的IP到黑客指定的服务器上。即使木马被查杀，黑客还可以远程连接中招机器再次为所欲为。

　　4、通过IFEO映像劫持sethc.exe，用于感染系统。

　　5、遍历硬盘中的rar和zip文件，然后解包并向压缩包内添加木马，当其他用户打开该安装包中的程序时，会再次感染。