解密中国网络游戏业的黑暗骑士:响尾马(下)
作者:趋势科技资深威胁研究人员Lion Gu
本文延续解密中国网络游戏业的黑暗骑士:响尾马(上)
后台服务器接受Trojan木马窃得的数据。服务器是一个使用了活动服务器网页(Active Server Pages,简称ASP)技术的网站。为了测试这个恶意软件,我们设了一个使用了因特网信息服务(Internet Information Services,简称IIS)的网站。如图所示,后台服务器需要用户名称和密码以便登入。
图5、后台服务器登入页面
后台服务器备有4个主要功能:
检查偷盗得的资料
管理群组使用者
管理一般使用者
复审服务器访客纪录
图6、后台服务器4个主要功能
活动服务器网页(Active Server Pages,简称ASP)是Microsoft微软第一个为机动产生网页而提供的伺服端程序代码引擎。最初是透过NT 4.0选项套组做为因特网信息服务(Internet Information Services,简称IIS)的插件来发布,之后成为Windows 2000服务器的免费组件之一。
群组使用者多数指的是网站的持有者。可增加或移除用户帐户,无论是网页的typeXpower或normalXon。
图7、群组使用者的管理页面
相较之下,一般使用者则可看到被偷盗的除了密码外的数据。一般使用者通常会被给予Trojan木马分送器。
图8、一般使用者的管理页面
Trojan木马分送者利用破坏弱点漏洞的方式入侵合法网站,并将Trojan木马的下载URL注射入被入侵的网站中。他们也可与数个提供免费下载音乐,电影和软件的小网站管理者达成协议。这些网站的管理者会将Trojan木马下载URL注射到所管理的网站中,诱使用者点击恶意的URL。Trojan木马分送者会支付款项给网站管理者。Trojan木马分送者则按所偷得的账户数量获得金额,因此他们需要定期登入到访客纪录页面去查看最新的偷盗得的帐户资料数量。
图9、访客纪录页面
这套Trojan木马工具组背后的网络犯罪集团制作了一个展示页面,其中包括了利用该套工具取得的偷盗数据样本,藉由XWM工具组的能力展示来说服客户。
图10、展示网页中被窃得数据的样本
多数被偷盗的数据皆在RMT实体货币交易平台贩卖,如5173.com和Taobao.com
图11、在5173.com上贩卖的被窃虚拟资产样本
更多关于XWM的内容
无庸置疑地,制作出XWM工具组的网络犯罪集团主要目的就是获取利益。他们将工具组卖给其他的网络犯罪份子,其证据就是在展开XWM工具组后出现的注册窗口。使用者如果想要使用Trojan木马产生器就需要购买并输入注册码。
图12、XWM工具组注册窗口
XWM工具组的制作罪犯也在特定的网站中广告该套工具组。在该则广告中,一个Trojan木马产生器可以人民币2千3百元购得。每一式Trojan木马执行文件价格则是在人民币2百50元。购买Trojan木马产生器或至少一个Trojan木马的使用者,同时也可获得6个月免费的防侦测服务,以及后台服务器的寄存服务。不过使用者也可使用自己的后台服务器寄存。
图13、XWM工具组广告
结论
本研究报告所介绍的,是一款热门的在线游戏Trojan木马工具组,名称是XWM工具组。XWM工具组有两个主要组件,一个是Trojan木马产生器,另一则是后台服务器。
XWM工具组极为容易设定。要制作一个Trojan木马时,网络犯罪份子只需要将后台服务器的URL 输入到Trojan木马产生器的设定区内即可。被制作并分送到用户系统的Trojan木马便可开始偷盗数据,并按网络犯罪份子所指定的URL传送到后台服务器中。
而所附的后台服务器使用也非常容易,因其会将到手的数据妥为组织整理,让偷盗虚拟资产的工作可迅速执行。
XWM工具组的目标是中国境内21个热门在线游戏的数百万名因特网使用者。庞大的游戏人口使此Trojan木马工具组极有可能成为最受网络犯罪份子喜爱的攻击路径。
因此提醒使用者们,特别是热情的在线游戏玩家们,在响应无预期的下载要求时务必要特别小心。我们强烈建议不要下载看来可疑的档案,也不要点击不太可信的联结。
使用者也可利用使用了Smart Protection NetworkTM主动式云端截毒技术的Trend Micro趋势科技产品,该技术中的档案信誉技术可侦测及预防利用XWM工具组所制作出的Trojan木马的下载。Smart Protection Network主动式云端截毒技术的网络信誉技术也会防阻使用者接触任何相关的恶意URL。
解密中国网络游戏业的黑暗骑士:响尾马(下)相关推荐
- ChinaJoy凸显中国游戏业十大矛盾
在ChinaJoy上,我们不仅可以听见来自政府官员的冀望,也可以听到国内外游戏厂商以及第三方机构的发言.透过这些代表着不同利益立场的不同声音,我们可以触摸到中国游戏业在这几年的快速成长中积累下的诸多矛 ...
- 我看中国游戏业(上)
我看中国游戏业 by 丑马梁 摘 要 本文通过对现阶段中国网络游戏所处的发展阶段分析,引出笔者观点:中国的网络游戏业差异于对于游戏世界观体系重要性的理解与发挥上.借助对于当前中国网络游戏主要盈利 ...
- 分析中国IT业低迷的原因
1.前言: 为什么要讨论? 从第一台计算机诞生到现在,已经61年了,但中国的IT业从起步到现在,仅仅10多年.经历了起步->发展->泡沫->重生.泡沫过 后,中国的IT业表面上看起来 ...
- 2022-2028年中国基金业投资分析及前景预测报告
[报告类型]产业研究 [报告价格]¥4500起 [出版时间]即时更新(交付时间约3个工作日) [发布机构]智研瞻产业研究院 [报告格式]PDF版 本报告介绍了中国基金行业市场行业相关概述.中国基金行业 ...
- 2011年中国网络游戏市场实际销售收入达到428.5亿元
新华网西安1月9日电 (记者姜辰蓉)9日,中国游戏产业年会在陕西召开,本届年会的主旨为"鼓励游戏研发.扶持自主品牌.提倡平等竞争.繁荣民族产业".据年会发布的相关数据显示,2011 ...
- 超强正能量。不得不推荐的新歌 黑暗骑士(JJ、五月天)。
MV: http://v.youku.com/v_show/id_XNTI4NDY0MzE2.html 黑暗骑士 作词:阿信(五月天) 作曲:林俊杰 演唱:林俊杰.阿信 黑暗里谁还不睡 黑色的心情和斗 ...
- 美国公募基金业60年来的十大巨变,预示了中国基金业的未来
美国公募基金业60年来的十大巨变,预示了中国基金业的未来 https://zhuanlan.zhihu.com/p/33205154 云锋金融 一站式港美股交易平台「有鱼股票」,全球精选基金交易平台「 ...
- 中国快递业唯一最佳CEO重磅出炉,你没有看错,他不是王卫!
点击"技术领导力"关注∆ 每天早上8:30推送 来源:电商头条(ID:ecxinwen) 在重大排行榜上,大家关心的多般是榜首和榜眼,最多看一眼探花,其余的统统飘过. 这次不一样 ...
- (转)中国IP业的尴尬处境,IP业务的难点
"从规模来说,IP公司业务不如产品公司那么大,如果只从体量上考虑政策,不一定会重视到IP,因为IP对GDP贡献不大." 向建军告诉探索科技(techSugar),因为IP产业规模小 ...
- 会会网大讲堂——中国会展业“发展史”
会会网大讲堂--过去三十年里,中国会展体量跻身全球前三,获得了举世瞩目的成绩.对于会展人来说,了解中国会展业的"发家史"也成为必修课之一.今天会务邦带大家一起看看,中国会展业的&q ...
最新文章
- Ubuntu下使用CMake编译OpenSSL源码操作步骤(C语言)
- 常用php时间函数 date() mktime() strtotime()
- mysql数据库整体备份和恢复_MySQL 数据库的备份和恢复
- python实现: protobuf解释器
- 全排列函数、组合函数
- js判断对象数组中是否存在某个对象
- PyCharm点击设置没反应,无法进行设置
- 【ECCV2020】接收论文列表part1
- 【Step By Step】将Dotnet Core部署到Docker(中)
- python-55: 验证码的生成机制
- oracle本地没装 配置,数据库--oracle安装配置(本地安装的步骤及各种问题解决方案)...
- MTK:架构和消息机制(必看)
- HTML+JS调用摄像头拍照并上传图片
- [Java反序列化]AspectJWeaver反序列化
- web前端期末大作业 HTML+CSS+JavaScript仿安踏
- 纹理压缩格式DXT/PVR/ETC编码
- 从入门到放弃,50G编程视频免费送!
- Malcolm的新书:Outliers
- 短网址跳转微信公众号
- 【计算机系统】如何在阿里云ECS服务器上定时执行Python脚本?