改暗3木马感染游戏主程序并附送WOW木马

暗3木马感染游戏主程序 并附送WOW木马

随着暗黑3玩家安全意识的提高，通过泄漏信息盗号的现象已经在逐步减少。虽然猜密码不行了，但盗号者是不会放过盗号木马这种这些广告位于谷歌搜索结果页面顶部的一个黄色框内打劫玩家的传统方式的。在开服的近两月时间里，地下盗号产业也完成了木马的开发周期。近日AVG中国病毒实验室截获一款专门针对暗黑3的木马，并且该木马采用了比较少见的感染游戏文件的方式，还附送魔兽世界木马一枚哦。

木马来源于群邮件和群共享，名为《暗黑3拍卖行使用详解》

看起来像一个自解压包，但无法用解压软件打开。运行后有提示

其实数据并没有损坏。这个母体做的事情是释放出 和rt.b两个dll文件并且加载他们。然后弹出一个提示迷惑观众。

没有让大家失望，是针对暗黑3的木马，rt.b是附赠的魔兽世界木马。

载入后，在全盘搜索暗黑3 主程序，Diablo e，找到后对其进行改写。改变其入口，指向一段自己写入的指令，自己的指令执行完后再跳入原始入口地址。并释放一个dll到暗黑3目录下，取名为ml.

改写后的Diablo e：

可以看到，病毒感染暗黑3主程序的目的就是每次运行时首先加载ml。

ml是执行盗号的部分。

病毒查找在进程中查找e 并向其发消息，获得文本。因此使用记事本保存密码的直到这次的《笑傲江湖》。童鞋要小心了。

病毒挂钩游戏窗口消息处理函数，已获得用户键盘输入。

最后获得了所有信息之后发送邮件到指定的邮箱。

从分析上看目前盗取密码只是通过键盘截获和记事本截获，绑定了认证器的玩家仍然可以免于盗号。

可以看出木马作者对暗黑3内部已经比较了解，随着黑客技术研究的深入，此类盗号木马会层出不穷。因此AVG提醒广大玩家，谨慎运行未知程序，留意信息安全，绑定认证器，保持防病毒软件持续更新。

玩家可以观察自己的游戏目录下是否有ml或者验证Diablo e文件签名来确认自己有没有中此木马。

此病毒以及衍生物已被AVG检测为C，安装并更新至AVG最新版本的玩家可以安心游戏。

关注ITBear科技资讯公众号（itbear365 ），每天推送你感兴趣的科技内容。

特别提醒：本内容转载自其他媒体，目的在于传递更多信息，并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。