当前位置:找DLL下载站系统新闻软件疑难安全资讯 → “游乐星空竞技平台”被黑客植入木马 两天感染玩家过10万

“游乐星空竞技平台”被黑客植入木马 两天感染玩家过10万

减小字体 增大字体 作者:佚名  来源:本站整理  发布时间:2010/5/19 10:33:16

  5月18日消息,360安全中心发布紧急木马疫情公告称,一个名为“游乐星空”的游戏对战客户端软件被黑客植入木马,该木马会针对盛大传奇、魔兽世界等热门游戏盗号。据360安全卫士和360杀毒的综合查杀量统计,两天内已有超过10万名游戏玩家因使用“游乐星空竞技平台”而中招。360安全中心紧急呼吁相关网民尽快使用安全软件进行全盘扫描查杀。

  据悉,“游乐星空竞技平台”是一套集成了休闲棋牌游戏和电子竞技游戏为一体的客户端软件。由于该竞技平台软件被植入木马,当玩家下载使用后,木马也就会随着竞技平台侵入电脑,顺势对玩家的游戏实施盗号。据360安全专家石晓虹博士分析,之所以会出现这种情况,很可能是由于该软件的开发人员电脑感染了木马,进而影响到大批“游乐星空竞技平台”用户。

  石晓虹介绍说,“游乐星空竞技平台”被植入的木马不光能对游戏盗号,还会留下一个极具危害的间谍帐户。也就是说,木马会秘密创建一个管理员权限的隐藏帐户,并打开一个便于黑客远程控制的“远程桌面”端口,即便木马本身被杀掉,黑客也可以通过这个“远程桌面”遥控中招电脑,再次带来新的木马病毒,而普通网民难以察觉。

  石晓虹建议“游乐星空”的玩家尽快全盘扫描查杀木马,同时还应该使用360安全卫士的“体检”功能,把木马预留的间谍帐户“远程桌面”端口关闭,以免遭受更严重的损失。

  截至发稿前,“游乐星空竞技平台”官方网站尚未就此事发布公告和安全建议。

  附1、使用360安全卫士“体检”功能关闭“远程桌面”

  

  附2、“游乐星空竞技平台”被植入木马行为分析报告

  1、盗取盛大传奇、魔兽世界的游戏帐号,并且会提交密保截图到黑客指定的服务器,用于破解游戏密保。

  2、可以分别劫持LPK.dll和USP10.dll动态库文件,即该木马文件可以为LPK.dll或USP10.dll。

  3、为系统添加一个隐藏的管理员帐户:tjg$,密码为kincom000,然后打开中招电脑的“远程桌面”(3389端口),同时提交中招用户机器的IP到黑客指定的服务器上。即使木马被查杀,黑客还可以远程连接中招机器再次为所欲为。

  4、通过IFEO映像劫持sethc.exe,用于感染系统。

  5、遍历硬盘中的rar和zip文件,然后解包并向压缩包内添加木马,当其他用户打开该安装包中的程序时,会再次感染。