安全公告:CN-SA10-01
发布日期:2010年05月04日
事件类型:木马
事件评估:严重
事件描述:
最近我们发现,利用或伪装输入法的木马数量正在不断增加,其中“输入法伪装者木马”最具有代表性。该木马会盗取网游玩家的账号密码,使玩家利益受损。
输入法是一种DLL(动态链接库文件,可执行),一般以“IME”为后缀。系统管理输入法的配置注册表键值为:HKLM\SYSTEM\CurrentControlSet\Control\Keyboard Layouts。当一个输入法被注册之后,操作系统会自动帮这个输入法的DLL加载到每个进程。“输入法伪装者木马”就利用这个特性将木马本身做成一个输入法的接口DLL,然后向系统注册。但这个DLL其实不提供输入法的功能,又由于系统允许同时安装一种以上的输入法,因此,此木马所安装的伪装输入法即不会影响用户当前的输入法,又可以获得对计算机全域的掌控,每个进程都会被自动加载这个伪装输入法,进而获取计算机的控制权。
此木马随高级文字服务的开启而启动运行后,会遍历窗体中是否含有“梦幻诛仙”或“GAMECLIENT”等游戏,通过迷惑用户、读取游戏内存的关键信息、保存玩家的游戏截屏的方式,将收集到的信息发送到黑客指定的服务器中。黑客再通过收集到的信息,盗取用户的游戏账号,造成用户虚拟财产的损失。
在此,中国反网络病毒联盟(ANVA)建议大家到官方网站下载输入法,不要轻信所谓绿色软件。此外,要注意安装和升级安全防护软件,实时检测和查杀意图侵入计算机的恶意程序。如发现相关攻击事件,可向中国反网络病毒联盟受理中心举报。
参考信息:
http://it.rising.com.cn/anti_virus/nextweek/2010-03-26/7141.html(瑞星公告)
http://bbs.360.cn/4071464/36895293.html(奇虎360公告)
信息提供者:
奇虎三六零软件(北京)有限公司
北京瑞星信息技术有限公司
其它信息:
安全报告文档编写:
中国反网络病毒联盟(ANVA)