截至2009年12月，约有2亿6千5百万，或全中国境内68.9%的因特网使用者，曾玩过在线游戏。中国共计有750个在线游戏供货商，总收益约达250亿人民币。


引言


在线游戏在中国非常热门。事实上，截至2009年12月为止，约有2亿6千5百万，或全中国境内68.9%的因特网使用者，曾玩过在线游戏。同一时期中国共计有750个在线游戏供货商，总收益约达250亿人民币。


在线游戏玩家不只在游戏上花许多时间，同时也花了高额的金钱。为了提升在线游戏体验，玩家投入金钱购买虚拟资产如黄金，手工艺品；以及如能量升级（power leveling），黄金农场（gold farming），及其它在数个在线交易平台以实体货币交易（real money trading，简称RMT）等类的服务。多数的在线交易平台皆为公开的市场，任何人皆可使用简易的付款机制来买卖虚拟资产或服务。种种因素皆促使RMT实体货币交易市场逐渐扩大，虚拟资产收益总额在2009年约达人民币340亿元。


网络犯罪份子当然不会放过如此庞大的商机，因此制作出Trojan木马工具组来偷盗玩家账户凭证，并贩卖受害玩家所累积的虚拟资产。网络犯罪份子因此更能轻易地取得金钱，也使得在线游戏Trojan木马成为中国一大安全威胁。


在线游戏Trojan木马的繁衍改变了地下经济。地下经济出现了新角色，如将Trojan木马，以及虚拟资产窃盗者及买家。


本研究报告将介绍一款热门的在线游戏Trojan木马工具组，名为响尾马（Xiang Wei Ma，简称XWM）的工具组，即响尾木马之意，其主要的攻击目标为中国的热门在线游戏。


XWM工具组概论


XWM工具组包括21个附有后台伺服组件的Trojan木马产生器，每一个皆针对一款中国热门的在线游戏。多数的目标对象皆是中国当地的在线游戏。






图1、XWM工具组Trojan木马产生器


XWM工具组的目标特别是下列的中国在线游戏：










后台服务器是一个接收Trojan木马传送所窃得数据的网站。网络犯罪份子利用这个被他们称之为信箱的网站储存偷盗得来的数据。






图2、 XWM工具组后台伺服组件


后台服务器是一个接收Trojan木马传送所窃得数据的网站。


木马产生器

XWM工具组中的Trojan木马产生器需要先行设定才能用以产生新的Trojan木马。使用者需要将后台服务器的URL输入到工具组的功能设定模块中，才能接受所制作出来的Trojans木马所偷盗得的资料。





图3、XWM工具组功能设定窗口


设定模块同时备有压缩选项，用户可选择是否压缩所制作的Trojans木马。XWM工具组使用一个叫做Upack的封装器来压缩恶意使用者所制作的Trojans木马。






图4、使用Upack来压缩使用XWM工具组制作的Trojans木马


在按下制作（Generate）键后，XWM工具就会产生新的.EXE檔Trojan木马。

XWM TROJANS木马及组件

当执行XWM Trojan木马时，会将下列档案投掷入受感染的系统中：

%system32%{4个随机字母}.dll

%system32%{4个随机字母}.cfg

%system32%driversmsacpe.sys

XWM Trojan木马的恶意程序其实相当简单。首先会产生一个 .DLL和一个 .CFG文件到被感染的系统中，这两个程序皆使用4个随机字母做为名称。接着将 .DLL档案载入系统内存中。这个档案程序具有下列主要功能：

  终止安全软件运作。会终止和一个中国安全软件供货商360相关的数个运作。

  产生一个启动程序并制作与其相关的服务。产生一个名叫msacpe.sys的启动程序，接着制作出名为mseqsv的服务，并利用前者做为图片文件。其作用在做为此恶意软件的网络嗅探器，可从被感染的系统偷盗数据。

  偷盗在线游戏数据。为达此目的，程序会搜寻在线游戏配置文件案如config.ini，info.ini及其它含有以下数据的档案：

  使用者名称

  在线游戏服务器名称

  在线游戏服务器所在区域

程序接着搜寻与在线游戏相关的流程，并读取其记忆空间，以便窃取以下数据：

  游戏角色

  游戏层级

  虚拟货币金额

当msacpe.sys找到与目标在线游戏相关的流程时，便会将程序代码注入程序中，并从程序中取得如密码等的数据。


  将窃得的数据传送给后台服务器。程序同时也会将到手的数据传送到网络犯罪份子所持有的后台服务器。程序使用以下字符串做为URL的参数：

?a=%s&s=%s&u=%s&p=%s&r=%s[%s]&l=%d&m=%d&pin=%s

上述的参数有8种变化如下：

  a = 在线游戏服务器所在区域

  s = 服务器名称

  u = 使用者名称

  p = 密码

  r = 角色

  l = 层级

  m = 虚拟货币

    pin = 个人辨识码（personal identification number，简称PIN）

Trojan木马会使用所说的参数将偷来的数据回传给后台服务器。msacpe.sys档案会协助 .DLL档案偷盗数据。.CFG档因此只包含加密的后台服务器URL，在设定Trojan木马产生器时加入。

截至2009年12月，约有2亿6千5百万，或全中国境内68.9%的因特网使用者，曾玩过在线游戏。中国共计有750个在线游戏供货商，总收益约达250亿人民币。


引言


在线游戏在中国非常热门。事实上，截至2009年12月为止，约有2亿6千5百万，或全中国境内68.9%的因特网使用者，曾玩过在线游戏。同一时期中国共计有750个在线游戏供货商，总收益约达250亿人民币。


在线游戏玩家不只在游戏上花许多时间，同时也花了高额的金钱。为了提升在线游戏体验，玩家投入金钱购买虚拟资产如黄金，手工艺品；以及如能量升级（power leveling），黄金农场（gold farming），及其它在数个在线交易平台以实体货币交易（real money trading，简称RMT）等类的服务。多数的在线交易平台皆为公开的市场，任何人皆可使用简易的付款机制来买卖虚拟资产或服务。种种因素皆促使RMT实体货币交易市场逐渐扩大，虚拟资产收益总额在2009年约达人民币340亿元。


网络犯罪份子当然不会放过如此庞大的商机，因此制作出Trojan木马工具组来偷盗玩家账户凭证，并贩卖受害玩家所累积的虚拟资产。网络犯罪份子因此更能轻易地取得金钱，也使得在线游戏Trojan木马成为中国一大安全威胁。


在线游戏Trojan木马的繁衍改变了地下经济。地下经济出现了新角色，如将Trojan木马，以及虚拟资产窃盗者及买家。


本研究报告将介绍一款热门的在线游戏Trojan木马工具组，名为响尾马（Xiang Wei Ma，简称XWM）的工具组，即响尾木马之意，其主要的攻击目标为中国的热门在线游戏。


XWM工具组概论


XWM工具组包括21个附有后台伺服组件的Trojan木马产生器，每一个皆针对一款中国热门的在线游戏。多数的目标对象皆是中国当地的在线游戏。






图1、XWM工具组Trojan木马产生器


XWM工具组的目标特别是下列的中国在线游戏：










后台服务器是一个接收Trojan木马传送所窃得数据的网站。网络犯罪份子利用这个被他们称之为信箱的网站储存偷盗得来的数据。






图2、 XWM工具组后台伺服组件


后台服务器是一个接收Trojan木马传送所窃得数据的网站。


木马产生器

XWM工具组中的Trojan木马产生器需要先行设定才能用以产生新的Trojan木马。使用者需要将后台服务器的URL输入到工具组的功能设定模块中，才能接受所制作出来的Trojans木马所偷盗得的资料。





图3、XWM工具组功能设定窗口


设定模块同时备有压缩选项，用户可选择是否压缩所制作的Trojans木马。XWM工具组使用一个叫做Upack的封装器来压缩恶意使用者所制作的Trojans木马。






图4、使用Upack来压缩使用XWM工具组制作的Trojans木马


在按下制作（Generate）键后，XWM工具就会产生新的.EXE檔Trojan木马。

XWM TROJANS木马及组件

当执行XWM Trojan木马时，会将下列档案投掷入受感染的系统中：

%system32%{4个随机字母}.dll

%system32%{4个随机字母}.cfg

%system32%driversmsacpe.sys

XWM Trojan木马的恶意程序其实相当简单。首先会产生一个 .DLL和一个 .CFG文件到被感染的系统中，这两个程序皆使用4个随机字母做为名称。接着将 .DLL档案载入系统内存中。这个档案程序具有下列主要功能：

  终止安全软件运作。会终止和一个中国安全软件供货商360相关的数个运作。

  产生一个启动程序并制作与其相关的服务。产生一个名叫msacpe.sys的启动程序，接着制作出名为mseqsv的服务，并利用前者做为图片文件。其作用在做为此恶意软件的网络嗅探器，可从被感染的系统偷盗数据。

  偷盗在线游戏数据。为达此目的，程序会搜寻在线游戏配置文件案如config.ini，info.ini及其它含有以下数据的档案：

  使用者名称

  在线游戏服务器名称

  在线游戏服务器所在区域

程序接着搜寻与在线游戏相关的流程，并读取其记忆空间，以便窃取以下数据：

  游戏角色

  游戏层级

  虚拟货币金额

当msacpe.sys找到与目标在线游戏相关的流程时，便会将程序代码注入程序中，并从程序中取得如密码等的数据。


  将窃得的数据传送给后台服务器。程序同时也会将到手的数据传送到网络犯罪份子所持有的后台服务器。程序使用以下字符串做为URL的参数：

?a=%s&s=%s&u=%s&p=%s&r=%s[%s]&l=%d&m=%d&pin=%s

上述的参数有8种变化如下：

  a = 在线游戏服务器所在区域

  s = 服务器名称

  u = 使用者名称

  p = 密码

  r = 角色

  l = 层级

  m = 虚拟货币

    pin = 个人辨识码（personal identification number，简称PIN）

Trojan木马会使用所说的参数将偷来的数据回传给后台服务器。msacpe.sys档案会协助 .DLL档案偷盗数据。.CFG档因此只包含加密的后台服务器URL，在设定Trojan木马产生器时加入。