近日AVG中国病毒实验室截获了一系列依附于456游戏的病毒样本,这些样本与以往的病毒扩散渠道不同,不是一般的通过网站挂马或者诱骗点击,而是与正常的游戏程序打包在一起,经由虚假网站欺骗用户下载运行。
456游戏是国内的一个联机的小游戏平台,类似于QQ游戏。而搜索“456游戏”确有许多完全相同的结果。
除此之外还有www.game456.com.cn,www.geme456.com,www.game456.com.ro/等域名,内容和真正的网站看起来一模一样。
下载一个假网站提供的游戏大厅,安装和游戏看起来也都很正常。游戏的主程序也是合法的。
可是运行游戏的同时,木马已经被植入了系统。
原因在于游戏的dll文件被替换,木马借游戏大厅运行加载起来。
假的dunzip32.dll加载后读取config.dat, 解密其中隐藏的代码,将其映射为一个dll, 执行InstallMain导出函数。
InstallMain函数创建服务指向文件lobby.exe,并且保存解密的文件logsysex.sep,将其作为共享进程服务开机自启动。
Logsysex.sep 主动同远端地址连接,从服务端下载加密模块,解密加载运行。
除此之外虚假456游戏安装包在各杀软对木马进行检测后还进行了更新。最新的456game游戏大厅不再有dunzip32.dll劫持,而是替换一个exe 文件。
游戏大厅在登录检测更新时会运行这个文件。这个被替换的进程会释放一个加密的exe,保存为ini文件,并且连接远程服务器下载新木马,根据用户机器上的安装的杀软进行不同的行为。
虚假456游戏木马是地下恶意软件集团有组织有预谋的针对特定游戏玩家的黑客行为,据称已经有大量玩家感染此后门。目前,AVG已经能够有效检测到这些木马和安装包;但是,AVG不得不提醒广大玩家,下载游戏一定要从官方渠道,并且需要留意域名,小心被虚假网站钓鱼。