不给木马开后门 AVG揭伪“456游戏”黑幕

656635525

        AVG也监测到了......  
        来自 http://www.newhua.com/2012/0821/173414.shtml
近日AVG中国病毒实验室截获了一系列依附于456游戏的病毒样本，这些样本与以往的病毒扩散渠道不同，不是一般的通过网站挂马或者诱骗点击，而是与正常的游戏程序打包在一起，经由虚假网站欺骗用户下载运行。

456游戏是国内的一个联机的小游戏平台，类似于QQ游戏。而搜索“456游戏”确有许多完全相同的结果。


除此之外还有www.game456.com.cn，www.geme456.com，www.game456.com.ro/等域名，内容和真正的网站看起来一模一样。

下载一个假网站提供的游戏大厅，安装和游戏看起来也都很正常。游戏的主程序也是合法的。









可是运行游戏的同时，木马已经被植入了系统。

原因在于游戏的dll文件被替换，木马借游戏大厅运行加载起来



假的dunzip32.dll加载后读取config.dat, 解密其中隐藏的代码，将其映射为一个dll, 执行InstallMain导出函数。


InstallMain函数创建服务指向文件lobby.exe，并且保存解密的文件logsysex.sep，将其作为共享进程服务开机自启动。

虚假456游戏木马是地下恶意软件集团有组织有预谋的针对特定游戏玩家的黑客行为，据称已经有大量玩家感染此后门。

目前，AVG已经能够有效检测到这些木马和安装包；但是，AVG不得不提醒广大玩家，下载游戏一定要从官方渠道，并且需要留意域名，小心被虚假网站钓鱼。

citian3094

不错。安软就是要发挥出这种作用。

Mrt

这货记得前几天样本包里有，杀器BD和Emsisoft都没杀出来啊，双击IDS报了，马马屠没反应

尘梦幽然

又是利用国外安软理解的硬伤啊。。。我也没能复现其行为。
诺顿杀过其中一部分样本

cjhuaxin

道高一尺魔高一丈啊。。。。。

蓝核

样本区貌似有样本……是不是456远控那个？杀软一直在跟随么~

lxja360

456是赌博 游戏 有很牛逼的后台

lxja360

456是 赌博游戏 有很牛逼的 后1台

lxja360

456是赌博游戏

UDady

估计安软官方技术员一直在卡饭潜水