AVG揭露偽“456游戲”提醒玩家防木馬

    泡泡網(wǎng)安全相關(guān)頻道8月21日 近日AVG中國病毒實(shí)驗(yàn)室截獲了一系列依附于456游戲的病毒樣本，這些樣本與以往的病毒擴(kuò)散渠道不同，不是一般的通過網(wǎng)站掛馬或者誘騙點(diǎn)擊，而是與正常的游戲程序打包在一起，經(jīng)由虛假網(wǎng)站欺騙用戶下載運(yùn)行。

    456游戲是國內(nèi)的一個(gè)聯(lián)機(jī)的小游戲平臺(tái)，類似于QQ游戲。而搜索“456游戲”確有許多完全相同的結(jié)果。

    除此之外還有g(shù)ame456.com.cn，geme456.com，game456.com.ro等域名，內(nèi)容和真正的網(wǎng)站看起來一模一樣。

    下載一個(gè)假網(wǎng)站提供的游戲大廳，安裝和游戲看起來也都很正常。游戲的主程序也是合法的。

    可是運(yùn)行游戲的同時(shí)，木馬已經(jīng)被植入了系統(tǒng)。

    假的dunzip32.dll加載后讀取config.dat, 解密其中隱藏的代碼，將其映射為一個(gè)dll, 執(zhí)行InstallMain導(dǎo)出函數(shù)。

    InstallMain函數(shù)創(chuàng)建服務(wù)指向文件lobby.exe，并且保存解密的文件logsysex.sep，將其作為共享進(jìn)程服務(wù)開機(jī)自啟動(dòng)。

    Logsysex.sep 主動(dòng)同遠(yuǎn)端地址連接，從服務(wù)端下載加密模塊，解密加載運(yùn)行。

    除此之外虛假456游戲安裝包在各殺軟對(duì)木馬進(jìn)行檢測(cè)后還進(jìn)行了更新。

    最新的456game游戲大廳不再有dunzip32.dll劫持，而是替換一個(gè)exe 文件。

    游戲大廳在登錄檢測(cè)更新時(shí)會(huì)運(yùn)行這個(gè)文件。這個(gè)被替換的進(jìn)程會(huì)釋放一個(gè)加密的exe，保存為ini文件，并且連接遠(yuǎn)程服務(wù)器下載新木馬，根據(jù)用戶機(jī)器上的安裝的殺軟進(jìn)行不同的行為。

    虛假456游戲木馬是地下惡意軟件集團(tuán)有組織有預(yù)謀的針對(duì)特定游戲玩家的黑客行為，據(jù)稱已經(jīng)有大量玩家感染此后門。目前，AVG已經(jīng)能夠有效檢測(cè)到這些木馬和安裝包；但是，AVG不得不提醒廣大玩家，下載游戲一定要從官方渠道，并且需要留意域名，小心被虛假網(wǎng)站釣魚?！?/P>

 <