9月3日,金山毒霸客户服务中心接到用户电话,称其电脑内的网络游戏被某杀毒软件当作病毒删除,导致无法正常启动。金山毒霸反病毒工程师根据用户描述以及对其杀毒日志进行分析,发现用户遇到的问题并非杀毒软件“误杀”,而是一个名为“酷狮子”的系列盗号木马所为。
金山毒霸反病毒工程师戴光剑表示,不同于传统的盗号木马,“酷狮子”系列盗号木马采取替换网游客户端程序的手段,仅在用户启动游戏时激活。此外,盗号木马与网游客户端一模一样的图标也让杀毒软件处理该木马面临尴尬的局面。据了解,目前金山收集到的“酷狮子”系列木马变种达到10个之多,根据其盗号的游戏不同,可以分为5类,分别针对魔兽世界、热血江湖、完美世界、武林外传和诛仙。
金山毒霸反病毒监测中心最初收集到"酷狮子"系列木马时发现,文件名都含有"kulion"字符,出于对病毒敏感,金山毒霸反病毒工程师以此为关键字,在网络上进行了搜索,结果进一步揭开了"酷狮子"系列木马的神秘面纱,http://www.kulion.com/网站浮出水面。从该网站的信息来看,几乎可以肯定是该系列木马作者的网站,在网站中最显眼位置写有"专业定做,品质保证"的字样,而且还公然留下了QQ号码,嚣张程度可见一般。(如图2)
据了解,目前金山收集到的"酷狮子"系列木马变种达到10个之多,根据其盗号的游戏不同,可以分为5类,分别针对魔兽世界、热血江湖、完美世界、武林外传和诛仙。金山表示会将该网站提交相关部门进行处理。
根据该系列木马的传播特点,金山毒霸反病毒监测中心及时进行了病毒库升级,金山毒霸用户只要升级到最新版本即可查杀。此外,由于"酷狮子"系列木马没有自保护功能,非毒霸用户只要找到文件便可以直接删除。以魔兽世界为例,下图是魔兽世界的客户端程序,一个已经被盗号木马替换,另外一个则是正常的。
如图(3),除了文件名和图标之外,正常的游戏客户端跟盗号木马还是很大区别的。例如文件大小方面,正常的是6.77M而木马则是26.2K,明显不是同一个数量级的。此外,正常的游戏客户端还有比较详细的描述,例如公司和文件版本,这些都是盗号木马所没有的。
通过文件夹选项作如图(4)的设置,便可以显示网游安装目录下的所有文件,找到被木马隐藏的正常客户端,改为原来的名字后便可以正常使用网游。值得一提的是,正常的游戏客户端程序的升级都有可能导致该盗号木马被清除,如果你发现网游目录下有两个正常的客户端程序,也请尽快修改你的游戏帐号密码,以防被盗。
"酷狮子"系列盗号木马技术分析:
该系列木马的各个变种行为基本一致,有一个EXE文件,并且能释放DLL文件。
样本加载过程:
先把自己复制到Windows目录,并释放DLL到Windows目录下。接下来检查当前运行的目录是Windows、网游还是其他。当前目录是网游的情况,会先运行网游客户端,然后运行刚才复制到Window目录下的程序。当前目录是Windows的情况会加载DLL部分,然后处于等待状态。DLL成功盗号后,盗号EXE结束执行。如果当前目录不在上述情况中,盗号木马将会查找目标网游的目录,并执行下面操作:
WOW:
WOW.EXE改名为 W0W.EXE,将W0W.EXE设置为隐藏属性和系统文件属性, 盗号木马改名为WOW.EXE。
热血江湖:
auncher.exe改名为launchar.exe,将launchar.exe设置为隐藏属性和系统文件属性, 盗号木马改名为auncher.exe.
完美世界、武林外传和诛仙用的相同客户端:
elementclient.exe改名为elemontclient.exe,将elemontclient.exe设置为隐藏属性和系统文件属性, 盗号木马改名为elementclient.exe.
注:该系列木马都没有任何文件保护功能,假如网游更新了客户端程序,该盗号木马将被清除。
盗号部分:
在固定偏移读取游戏关键内存数据,通过破解内存中的信息取得用户信息。由于是固定偏移,游戏程序的版本改动都可能导致盗号失败。 正如前述,该系列木马是为个人"定做"的,用于接收盗号信息的网址都是不同的,但是参数是相同的。具体格式如下:
User= 用户名&pass = 密码& ser = 服务器名_网络连接 &cangku =仓库密码 &beizhu = 备注&rw = 等级 &pcname = 计算机名
在诛仙盗号中发现的"cctvtvtvtvtD"
在完美世界盗号中发现的"真情告白":
"ZHUZHUHENKEAI"
"ZHUZHUSHITOUZHU"
"WOLAOPOSHIDABENZHUHAHA"
在另外一个完美世界盗号中发现:
"QUANTIKEHUHAHAHAHAHAFDSFDSFSDF"