《地下城與勇士》是一款騰訊旗下的熱門網遊,針對這款遊戲的外掛數量巨大,許多玩家也樂於使用此類外掛,甚至不顧殺毒軟體和安全輔助工具的警告,強行使用遊戲外掛。於是,駭客將目光瞄準了這些遊戲玩家,將各種電腦病毒和外掛程式捆綁在一起,再打包通過外掛平臺傳播,這也不是什麼秘密了。
可你能想到,最近出現了一批針對《地下城與勇士》的遊戲外掛網站,例如hxxp://www.dnf3996.com、hxxp://www.dnf9669.com、hxxp:// www.wg9669.com等,其實它們都指向一個“毒窩”——在這裡暗藏了三類病毒,一類病毒是遊戲使用者深惡痛絕的盜號木馬;一類是控制使用者電腦,劫持首頁的後門病毒;三類是強制捆綁安裝軟體的下載器病毒,這種病毒會偷偷下載數十種協力廠商病毒到玩家的電腦中。
例如,“毒窩”暗藏了利用MS14-064漏洞傳播的盜號木馬,該木馬運行後會先在系統環境中搜索騰訊遊戲登錄相關的進程,偽裝成騰訊遊戲平臺的登錄介面,誘騙玩家輸入帳號密碼,一旦這些敏感性資料到後,就會登錄遊戲將帳號中的錢財洗劫一空,再通過遊戲道具網站販賣,就可以獲的真金白銀了。
需要注意的是,這些遊戲外掛網站中的外掛不是個個都帶毒,也有正常的遊戲外掛,經分析發現,所有免費的遊戲外掛以及一些低價遊戲外掛會不定期會捆綁病毒,且捆綁的病毒是隨機的,這跟以往那些傳播病毒的手法不同——網站通過傳播病毒賺錢,也通過代理遊戲外掛賺錢,任何賺錢機會都不錯過!
該“毒窩”的DNF寶馬輔助,就是一個不折不扣的病毒,病毒有兩個惡行,一個是劫持流覽器首頁,就首頁竄改為2345導航站,另外一個是配合後門病毒Pack.exe發動DDoS攻擊。