解密中國網路遊戲業的黑暗騎士 響尾馬 上

2021-08-25 13:49:34 字數 2628 閱讀 9214

趨勢科技資深威脅研究人員liongu

引言 2023年12

月為止,約有2億

6千5百萬

,或全中國境內

68.9%

750250

億人民幣。

powerleveling

),**農場(

goldfarming

realmoneytrading

,簡稱rmt

)等類的

服務rmt

實體貨幣交易市場逐漸擴大,虛擬資產收益總額在

2009

年約達人民幣

340億元。

網路犯罪份子當然不會放過如此龐大的商機,因此製作出

trojan

trojan

木馬成為中國一大安全威脅。

trojan

木馬的繁衍改變了地下經濟。地下經濟出現了新角色,如將

trojan

木馬,以及虛擬資產竊盜者及買家。

trojan

木馬工具組,名為

響尾馬(

xiangweima

,簡稱xwm)

xwm工具組概論

xwm工具組包括

21個附有後台伺服元件的

trojan

1、xwm工具組

trojan

木馬產生器

xwm

後台伺服器

是乙個接收

trojan

木馬傳送所竊得資料的**。網路犯罪份子利用這個被他們稱之為信箱的**儲存偷盜得來的資料。

2、xwm工具組後台伺服元件

後台伺服器是乙個接收

trojan

木馬傳送所竊得資料的**。

木馬產生器

xwm工具組中的

trojan

木馬產生器需要先行設定才能用以產生新的

trojan

木馬。使用者需要將後台伺服器的

url輸入到工具組的功能設定模組中,才能接受所製作出來的

trojans

木馬所偷盜得的資料。

3、xwm工具組功能設定視窗

設定模組同時備有壓縮選項,使用者可選擇是否壓縮所製作的

trojans

木馬。xwm

工具組使用乙個叫做

upack

的封裝器來壓縮惡意使用者所製作的

trojans

木馬。

4、使用

upack

來壓縮使用

xwm工具組製作的

trojans木馬

在按下製作(

generate

)鍵後,

xwm工具就會產生新的

.exe

檔trojan

木馬。

xwmtrojans

木馬及元件

當執行xwmtrojan

木馬時,會將下列檔案投擲入受感染的系統中:

%system32%/.dll

%system32%/.cfg

%system32%/drivers/msacpe.sys

xwmtrojan

木馬的惡意程式

其實相當簡單。首先會產生乙個

.dll

和乙個.cfg

檔案到被感染的系統中,這兩個程式皆使用

4個隨機字母做為名稱。接著將

.dll

檔案載入系統記憶體中。這個檔案程式具有下列主要功能:

終止安全軟體運作

。會終止和乙個中國安全軟體

供貨商360

相關的數個運作。

產生乙個啟動程式並製作與其相關的服務

。產生乙個名叫

msacpe.sys

的啟動程式,接著製作出名為

mseqsv

的服務,並利用前者做為檔案。其作用在做為此惡意軟體的網路嗅探器,可從被感染的系統偷盜資料。

config.ini

,info.ini

及其它含有以下資料的檔案:

使用者名稱

遊戲角色

遊戲層級

虛擬貨幣金額 當

msacpe.sys

將竊得的資料傳送給後台伺服器。程式同時也會將到手的資料傳送到網路犯罪份子所持有的後台伺服器

。程式使用以下字串做為

url的引數:

?a=%s&s=%s&u=%s&p=%s&r=%s[%s]&l=%d&m=%d&pin=%s

上述的引數有

8種變化如下:

a=s=

伺服器名稱

u=使用者名稱

p=密碼

r=角色

l=層級

m=虛擬貨幣

pin=

個人辨識碼(

personalidentificationnumber

,簡稱pin)

trojan

木馬會使用所說的引數將偷來的資料回傳給後台伺服器。

msacpe.sys

檔案會協助

.dll

檔案偷盜資料。

.cfg

檔因此只包含加密的後台伺服器

url,在設定

trojan

木馬產生器時加入。

待續...

解密中國網路遊戲業的黑暗騎士 響尾馬 下

本文延續解密中國網路遊戲業的黑暗騎士 響尾馬 上 後台伺服器接受trojan木馬竊得的資料。伺服器是乙個使用了活動伺服器網頁 active server pages,簡稱asp 技術的 為了測試這個惡意軟體,我們設了乙個使用了網際網路資訊服務 internet information service...

中國網路遊戲上市突擊大事記

網路遊戲正進入乙個前所未有的 年代,網遊公司突擊資本市場,已成為不可阻擋的潮流。中國網遊公司上市突擊 第一梯隊網易 2000年06月30日於納斯達克上市盛大 2004年05月13日於納斯達克上市 第九城市 2004年12月16日於納斯達克上市 梯隊表現 網易 上市當天,股價就跌破了發行價,跌幅高達1...

評論 中國網路遊戲虛擬物品交易的前景

舒適的住房 名牌的服裝 高階的轎車乃至一根來自古巴的雪茄 這些在生活中令人們玩味以久的商品在遊戲世界中同樣需要。那些還不能理解虛擬物品也可作為商品交易的人們,那些還沒有發覺中國虛擬物品交易市場已經漸漸成形的人們。其心中的誤區僅在於,他們總以為遊戲僅僅是娛樂,而實際上遊戲已是社群 遊戲已是生活,遊戲已...