|
||||
5月18日消息,360安全中心發布緊急木馬疫情公告稱,一個名為"游樂星空"的游戲對戰客戶端軟件被黑客植入木馬,該木馬會針對盛大傳奇、魔獸世界等熱門游戲盜號。據360安全衛士和360殺毒的綜合查殺量統計,兩天內已有超過10萬名游戲玩家因使用"游樂星空競技平臺"而中招。360安全中心緊急呼吁相關網民盡快使用安全軟件 進行全盤掃描查殺。
據悉,"游樂星空競技平臺"是一套集成了休閑棋牌游戲和電子競技游戲為一體的客戶端軟件。由於該競技平臺軟件被植入木馬,當玩家下載使用後,木馬也就會隨著競技平臺侵入電腦,順勢對玩家的游戲實施盜號。據360安全專家石曉虹博士分析,之所以會出現這種情況,很可能是由於該軟件的開發人員電腦感染了木馬,進而影響到大批"游樂星空競技平臺"用戶。
石曉虹介紹說,"游樂星空競技平臺"被植入的木馬不光能對游戲盜號,還會留下一個極具危害的間諜帳戶。也就是說,木馬會秘密創建一個管理員權限的隱藏帳戶,並打開一個便於黑客遠程控制的"遠程桌面"端口,即便木馬本身被殺掉,黑客也可以通過這個"遠程桌面"遙控中招電腦,再次帶來新的木馬病毒,而普通網民難以察覺。
石曉虹建議"游樂星空"的玩家盡快全盤掃描查殺木馬,同時還應該使用360安全衛士的"體檢"功能,把木馬預留的間諜帳戶"遠程桌面"端口關閉,以免遭受更嚴重的損失。
截至發稿前,"游樂星空競技平臺"官方網站尚未就此事發布公告和安全建議。
附1、使用360安全衛士"體檢"功能關閉"遠程桌面"
附2、"游樂星空競技平臺"被植入木馬行為分析報告
1、盜取盛大傳奇、魔獸世界的游戲帳號,並且會提交密保截圖到黑客指定的服務器,用於破解游戲密保。
2、可以分別劫持LPK.dll和USP10.dll動態庫文件,即該木馬文件可以為LPK.dll或USP10.dll。
3、為系統添加一個隱藏的管理員帳戶:tjg$,密碼為kincom000,然後打開中招電腦的"遠程桌面"(3389端口),同時提交中招用戶機器的IP到黑客指定的服務器上。即使木馬被查殺,黑客還可以遠程連接中招機器再次為所欲為。
4、通過IFEO映像劫持sethc.exe,用於感染系統。
5、遍歷硬盤中的rar和zip文件,然後解包並向壓縮包內添加木馬,當其他用戶打開該安裝包中的程序時,會再次感染。