趋势科技近来报导了相关网络犯罪份子们在运作时所使用的工具。包含Twitter推特的垃圾讯息和傀儡殭尸网络工具,假POS销售点工具,及DDoS分布式服务阻断型攻击工具。现在要和大家分享另一款特别会影响到中文在线游戏玩家的工具。
众所周知,中国拥有庞大的在线游戏人口。事实上,一份最近发表的研究声称,中国在2009年共有6千8百万名的游戏玩家,此人口数预期将在2014年增加到1亿4千1百万人。
不幸的是,随着游戏产业的持续发展,网络犯罪份子也从中取得良机,透过贩卖从偷盗来的在线游戏账户中所抽取出的虚拟资产来赚取暴利。
就如同先前所说的不同的工具一般,网络犯罪份子也运用的Trojan木马产生器,窃取在线游戏账户。「响尾马」(Xian Wei Ma
或 XWM,中文意思为「响着尾巴的Trojan木马」)是一套热门的中文Trojan木马工具组。XWM工具组的主要特色是,它不只是Trojan木马的产生器,同时更是后台服务器,可用来接收或整理窃得的数据,让网络犯罪份子的运作更加便利。
XWM工具组包括21个Trojan木马产生器,可针对中国境内不同的热门在线游戏,多数皆为当地的游戏(见图1)。
图1、攻击目标游戏之标示图 这些产生器在产生新的Trojan木马前需要进行部份的设定。使用者需要输入后台服务器的URL才能从Trojan木马接收偷盗来的数据。
图2、输入可传送窃得数据之URL的操控台 被受害人系统上执行时,所产生的Trojan木马会投掷下列的档案: %system32%\{4个随机字母}.dll %system32%\{4个随机字母}.cfg %system32%\drivers\msacpe.sys .DLL档案程序是安置在系统的内存中,用来偷盗账户数据及将数据传送回给使用以下字符串做为URL参数的后台服务器: ?a=%s&s=%s&u=%s&p=%s&r=%s[%s]&l=%d&m=%d&pin=%s 上述的参数有8种变化,用来传送窃得的数据回后台服务器。参数的变化定义如下: ‘a’ — 在线游戏服务器区域 ‘s’ — 服务器名称 ‘u’ — 使用者名称 ‘p’ — 密码 ‘r’ — 角色 ‘l’ — 层级 ‘m’ — 虚拟货币 ‘pin’ — PIN个人辨识码 偷盗得的数据接着被传送到后台服务器的URL中,URL是包含在 .CFG档案程序中。网络犯罪份子跟着透过特别设计的主网页,来进入储存了所有偷盗数据的后台服务器
贩卖这套工具的网络犯罪份子甚至还提供了示范页面,其中展示了一份应该是偷盗得的数据列表,以显示该套工具的效能。
图4、工具组示范页面 其中的危险不只是在此套工具有能力挑起攻击,同时更在于其容易取得的程度。愈多的人使用此套工具组,就有更多的人会受害。因此也就会有更多的网络犯罪份子受到鼓励来进行他们的运作。这再一次证明科技能为我们让许多事变得更便利,同时也很不幸的是,对网络犯罪份子们来说也是如此。 | 
发表于 2010-7-16 11:32:57
