《暗黑破壞神3》木馬感染主程式 並附送WOW木馬
隨著暗黑3玩家安全意識的提高,通過泄漏資訊盜號的現象已經在逐步減少。雖然猜密碼不行了,但盜號者是不會放過盜號木馬這種打劫玩家的傳統方式的。在開服的近兩月時間裡,地下盜號產業也完成了木馬的開發周期。據來自AVG中國病毒實驗室的最新消息,他們剛剛截獲一款專門針對暗黑3的木馬,並且該木馬採用了比較少見的感染遊戲檔案的方式,還附送魔獸世界木馬一枚,提醒玩家們小心防範了。
AVG中國病毒實驗室安全人員給我們詳細分析了這種木馬的危害方式,據了解該木馬來源於群郵件和群共享,名為《暗黑3拍賣行使用詳解》。
看起來像一個自解壓包,但無法用解壓軟體打開。運行後有提示。
其實數據並沒有損壞。這個母體做的事情是釋放出 read.me 和rt.b兩個dll檔案並且加載他們。然後彈出一個提示迷惑觀眾。
沒有讓大家失望,read.me是針對暗黑3的木馬,rt.b是附贈的魔獸世界木馬。read.me 載入後,在全盤搜索暗黑3 主程式,Diablo III.exe,找到後對其進行改寫。改變其入口,指向一段自己寫入的指令,自己的指令執行完後再跳入原始入口地址。並釋放一個dll到暗黑3目錄下,取名為patch.html。
改寫後的Diablo III.exe
可以看到,病毒感染暗黑3主程式的目的就是每次運行時首先加載patch.html。Patch.html是執行盜號的部分。