在中国互联网应急中心的首页新闻上看到《梦幻诛仙》

防范利用输入法机制的木马

安全公告:CN-SA10-01
发布日期:2010年05月04日
事件类型:木马
事件评估:严重

事件描述:
最近我们发现,利用或伪装输入法的木马数量正在不断增加,其中"输入法伪装者木马"最具有代表性。该木马会盗取网游玩家的账号密码,使玩家利益受损。
输入法是一种DLL(动态链接库文件,可执行),一般以"IME"为后缀。系统管理输入法的配置注册表键值为:HKLM\SYSTEM\CurrentControlSet\Control\Keyboard Layouts。当一个输入法被注册之后,操作系统会自动帮这个输入法的DLL加载到每个进程。"输入法伪装者木马"就利用这个特性将木马本身做成一个输入法的接口DLL,然后向系统注册。但这个DLL其实不提供输入法的功能,又由于系统允许同时安装一种以上的输入法,因此,此木马所安装的伪装输入法即不会影响用户当前的输入法,又可以获得对计算机全域的掌控,每个进程都会被自动加载这个伪装输入法,进而获取计算机的控制权。
此木马随高级文字服务的开启而启动运行后,会遍历窗体中是否含有"梦幻诛仙"或"GAMECLIENT"等游戏,通过迷惑用户、读取游戏内存的关键信息、保存玩家的游戏截屏的方式,将收集到的信息发送到黑客指定的服务器中。黑客再通过收集到的信息,盗取用户的游戏账号,造成用户虚拟财产的损失。
在此,中国反网络病毒联盟(ANVA)建议大家到官方网站下载输入法,不要轻信所谓绿色软件。此外,要注意安装和升级安全防护软件,实时检测和查杀意图侵入计算机的恶意程序。如发现相关攻击事件,可向中国反网络病毒联盟受理中心举报。

原文: http://www.cert.org.cn/publish/main/10/2012/20120330183801594157956/20120330183801594157956_.html

感谢ruixin娱乐公司和360流氓联合提供如上信息

此博客中的热门博文

少写代码,多读别人写的代码

在windows下使用llvm+clang

tensorflow distributed runtime初窥