在线游戏在中国非常热门。事实上，截至2009年12月为止，约有2亿6千5百万，或全中国境内68.9%的因特网使用者，曾玩过在线游戏。同一时期中国共计有750个在线游戏供货商，总收益约达250亿人民币。

　　在线游戏玩家不只在游戏上花许多时间，同时也花了高额的金钱。为了提升在线游戏体验，玩家投入金钱购买虚拟资产如黄金，手工艺品;以及如能量升级(power leveling)，黄金农场(gold farming)，及其它在数个在线交易平台以实体货币交易(real money trading，简称RMT)等类的服务。多数的在线交易平台皆为公开的市场，任何人皆可使用简易的付款机制来买卖虚拟资产或服务。种种因素皆促使RMT实体货币交易市场逐渐扩大，虚拟资产收益总额在2009年约达人民币340亿元。

　　网络犯罪份子当然不会放过如此庞大的商机，因此制作出Trojan木马工具组来偷盗玩家账户凭证，并贩卖受害玩家所累积的虚拟资产。网络犯罪份子因此更能轻易地取得金钱，也使得在线游戏Trojan木马成为中国一大安全威胁。

　　在线游戏Trojan木马的繁衍改变了地下经济。地下经济出现了新角色，如将Trojan木马，以及虚拟资产窃盗者及买家。

　　本研究报告将介绍一款热门的在线游戏Trojan木马工具组，名为响尾马(Xiang Wei Ma，简称XWM)的工具组，即响尾木马之意，其主要的攻击目标为中国的热门在线游戏。

　　XWM工具组概论

　　XWM工具组包括21个附有后台伺服组件的Trojan木马产生器，每一个皆针对一款中国热门的在线游戏。多数的目标对象皆是中国当地的在线游戏。

　　图1 XWM工具组Trojan木马产生器

　　XWM工具组的目标特别是下列的中国在线游戏：

　　后台服务器是一个接收Trojan木马传送所窃得数据的网站。网络犯罪份子利用这个被他们称之为信箱的网站储存偷盗得来的数据。

　　图2 XWM工具组后台伺服组件

　　后台服务器是一个接收Trojan木马传送所窃得数据的网站。

　　木马产生器

　　XWM工具组中的Trojan木马产生器需要先行设定才能用以产生新的Trojan木马。使用者需要将后台服务器的URL输入到工具组的功能设定模块中，才能接受所制作出来的Trojans木马所偷盗得的资料。

　　图3 XWM工具组功能设定窗口

　　设定模块同时备有压缩选项，用户可选择是否压缩所制作的Trojans木马。XWM工具组使用一个叫做Upack的封装器来压缩恶意使用者所制作的Trojans木马。

　　图4使用Upack来压缩使用XWM工具组制作的Trojans木马

　　在按下制作(Generate)键后，XWM工具就会产生新的.EXE檔Trojan木马。

　　XWM TROJANS木马及组件

　　当执行XWM Trojan木马时，会将下列档案投掷入受感染的系统中：

　　XWM Trojan木马的恶意程序其实相当简单。首先会产生一个 .DLL和一个 .CFG文件到被感染的系统中，这两个程序皆使用4个随机字母做为名称。接着将 .DLL档案载入系统内存中。这个档案程序具有下列主要功能：

　　终止安全软件运作：会终止和一个中国安全软件供货商360相关的数个运作。

　　产生一个启动程序并制作与其相关的服务：产生一个名叫msacpe.sys的启动程序，接着制作出名为mseqsv的服务，并利用前者做为图片文件。其作用在做为此恶意软件的网络嗅探器，可从被感染的系统偷盗数据。

　　偷盗在线游戏数：为达此目的，程序会搜寻在线游戏配置文件案如config.ini，info.ini及其它含有以下数据的档案：

　　程序接着搜寻与在线游戏相关的流程，并读取其记忆空间，以便窃取以下数据：

　　当msacpe.sys找到与目标在线游戏相关的流程时，便会将程序代码注入程序中，并从程序中取得如密码等的数据。

　　将窃得的数据传送给后台服务器。程序同时也会将到手的数据传送到网络犯罪份子所持有的后台服务器。程序使用以下字符串做为URL的参数：

　　　　上述的参数有8种变化如下：

Trojan木马会使用所说的参数将偷来的数据回传给后台服务器。msacpe.sys档案会协助 .DLL档案偷盗数据。.CFG档因此只包含加密的后台服务器URL，在设定Trojan木马产生器时加入。

　　待续...

　　注释：作者Lion Gu现为趋势科技资深威胁研究人员。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。