正值暑假 网游账户遭木马工具组锁定

　　之前eNet网络安全报导了相关网络犯罪份子们所使用的工具。包含Twitter推特的垃圾信息、垃圾邮件和傀儡僵尸网络工具(利用 Twitter 信息下达指令的恶意程序)，假POS销售点工具(POS：fake point-of-sale POS) ，及DDoS攻击工具(黑客在Youtube 上卖DDoS 工具，售价15美金，相关详情点击)。现在要和大家分享另一款特别会影响到中文网络游戏玩家的工具。

　　众所周知，我国拥有着庞大的网络游戏人口。事实上，一份国外最新发表的研究声称，中国在2009年共有6千8百万名的游戏玩家，此人口数预期将在2014年增加到1亿4千1百万人。

　　不幸的是，随着游戏产业的持续发展，尤其是寒暑假热门时期，网络犯罪份子纷纷窥中良机，透过贩售盗来的网络游戏帐号中的虚拟资产来赚取暴利。

　　就如同先前所说的不同的工具一般，网络犯罪份子也运用的Trojan木马生成器，窃取网络游戏帐户。今天eNet安全重点提示网友们一款叫做“响尾马(国际上也称为XWM)”的热门中文Trojan木马工具组。XWM工具组的主要特色是，它不只是Trojan木马的产生器，同时更是后台服务器，BS架构一体化可更加方便来接收或整理窃得的资料，让网络犯罪份子的运作更加便利。

　　XWM工具组包括21个Trojan木马产生器，可针对中国境内不同的热门网络游戏，多数皆为当地的游戏(见图1)。

　　图1、攻击目标游戏之标示图

　　这些生成器在产生新的Trojan木马前需要进行部份的设定。使用者需要输入后台服务器的URL才能从Trojan木马接收偷盗来的资料。

　　图2、输入可传送窃得资料之URL的操控台

　　被受害人系统上执行时，所产生的Trojan木马会随机生成下列的文件：

　　%system32%\{4个随机字母}.dll

　　%system32%\{4个随机字母}.cfg

　　%system32%\drivers\msacpe.sys

　　.DLL动态链接文件程序是安置在系统中的，用来偷盗帐户资料及将资料传送回给使用以下字串做为URL参数的后台服务器：

　　?a=%s&s=%s&u=%s&p=%sr=%s[%s]&l=%d&m=%d&pin=%s

　　上述的参数有8种变化，用来传送窃得的资料回后台服务器。参数的变化定义如下：

　　‘a’ — 网络游戏服务器区域

　　‘s’ — 服务器名称

　　‘u’ — 使用者名称

　　‘p’ — 密码

　　‘r’ — 角色

　　‘l’ — 层级

　　‘m’ — 虚拟货币

　　‘pin’ — PIN个人辨识码

　　偷盗得的资料接着被传送到后台服务器的URL中，URL是包含在 .CFG文件程序中。网络犯罪份子跟着透过特别设计的主网页，来进入储存了所有偷盗资料的后台服务器

　　贩售这套工具的网络犯罪份子甚至还提供了示范页面，其中展示了一份应该是偷盗得的资料列表，以显示该套工具的效能。

　　图3、工具组示范页面

　　其中的危险不只是在此套工具有能力挑起攻击，同时更在于其容易取得的程度。越多的人使用此套工具组，就有更多的人会受害。因此也就会有更多的网络犯罪份子受到鼓励来进行他们的运作。这再一次证明科技能为我们让许多事变得更便利，同时也很不幸的是，对网络犯罪份子们来说也是如此。

　　介绍到这里，揭露黑客工具绝不是为了说现在“黑”几个游戏账号是怎么怎么容易，确实，在当今年代，黑客工具泛滥对于网络安全的维护更加的艰难，而相反的裸机上网、使用盗版软件盗版系统、不及时修补漏洞、轻视网络安全的人们在我国还有很多。正值暑假放松的学生们看到此文时，如果你属于上面那些人群，为了更好的游戏体验，以及你本身的网络权益、个人隐私不受损，还请给自己多一些选择，主流的配置一套杀毒软件+防火墙。如果怕因此牺牲你的游戏性能，那么还请大可放心，最新的杀毒软件不论是哪家在内存占用上都改善得很不错了。