换瓶不换酒，盗号木马还在钻搜索引擎广告的空子

在游戏的世界里，棋牌类游戏以其独特的魅力深受越来越多的玩家喜爱，而当玩家们准备大笔一挥、酣畅淋漓地氪金充值打游戏，殊不知钱包早已被邪魅的眼睛盯上……

近期，360安全大脑监测发现一批通过搜索引擎广告位进行大量传播的游戏盗号木马，该木马瞄准“1378棋牌游戏”和“850棋牌游戏”的用户群体进行盗号，一旦用户号码被盗，“虚拟财产”将遭受难以估计的损失，360安全大脑对此进行了深入的追踪和拦截查杀。

搜索引擎+贴吧广告，虚假链接盗取玩家游戏金币

要说，现在的盗号木马可谓是胆大包天、猖獗成性，竟公然以搜索引擎广告位形式进行疯狂盗号、掠币。

当我们在搜索引擎中搜索关键字“1378”和“850”时，便发现其第一二位的搜索结果已被钓鱼网站以广告位形式占据。

由于二者是同一域名，360安全专家以“1378”为例深入溯源分析，继续点击“1378”广告进入网站，发现这个钓鱼网站里的所有网页链接竟然都指向同一个URL： hxxp://1378.hongfeixue.cn/1378game.exe，唯一目的也昭然若揭，引诱玩家下载他们的钓鱼客户端。

继续查看搜索引擎的检索结果，发现不仅钓鱼网站，“1378贴吧”也存在大量盗号木马的广告链接，有的甚至“霸占”贴吧最显眼的置顶位置，让搜索引擎广告位的钓鱼效果进一步凸显。

在贴吧中，通过翻看“1378”用户群体所讨论的一些信息，可以让我们一窥这条黑色产业链的利润所暴露出冰山一角。

首先，该盗号木马通过广告投放吸引了一大批氪金玩家，大额充值游戏，不少中招用户反馈损失金额动辄上千至几万、十几万，盗号木马牟取暴利起来，简直是疯狂。

其次，在贴吧讨论中，我们发现似乎还有一类专门倒卖“虚拟金币”的代理被称呼为“银商”，顺带提一句，除了木马盗取游戏币，事实上不少玩家通过这种不可靠的渠道充值，同样也被骗取钱财。

接着，所谓广撒网，多赚钱，类似这种钓鱼网站的攻击和传播由来已久，作案团伙早已制作了大量的钓鱼页面来运作此类黑色产业，下图是360安全大脑追踪发现到的其他钓鱼网站的留存：

霸道横行，也难逃被揭穿“真面目”的命运

纵使盗号木马如何霸道横行、顶风作案，终将难逃360安全大脑对其的追踪和查杀拦截。鉴于“1378钓鱼模块”和“850钓鱼模块”手法基本一致，360安全专家以“1378棋牌游戏”为例，刨析该盗号木马的工作流程。

当用户点击桌面图标时，首先是autoupdate.exe启动，接着动态加载木马模块D3DX9_4*.DLL，这时木马模块检测到主模块名为autoupdate.exe将进行持久化的流程，阻止木马模块被游戏原本的更新检查替换掉。

当autoupdate.exe更新完毕之后，系统便会启动游戏主程序1378GameCenter.exe，这时D3DX9_4*.DLL将展开真正的盗号行为。不过在此之前，值得一提的是整个木马模块的代码书写风格很是严谨，错误检查和异常处理都做的非常到位。很显然，这不是什么新手上路，而是有组织有计划的花了大功夫打造出来的木马模块。如下图所示，判断当前主模块名为1378GameCenter.exe之后便会展开行为。

接着DoWork函数内创建了数个线程，并进行了多处HOOK，但是其中最为关键的是对棋牌游戏的模块WHSocket.dll进行HOOK，这一处HOOK可以让木马作者直接获取到用户的帐号名以及密码的MD5。

如下图所示，输入测试用的帐号密码并登陆，可以成功获取到我们用于测试的帐号名称和密码的MD5。

360安全大脑打假查杀：氪金保险杠，游戏更安心

由于在线棋牌游戏受众广泛且其中涉及到的潜在利润巨大，棋牌游戏成为目前钓鱼高发区。今年年初，360安全大脑就有监测发现针对“集结号”棋牌游戏的用户群体进行盗号的木马，该木马同样采取通过搜索引擎广告位形式进行传播。此次针对“1378”和“850”棋牌类游戏的盗号，实则换汤不换药，换瓶不换酒。

针对此类钓鱼，360安全大脑见招拆招，已进行了专项查杀，并建议广大玩家用户：

1. 选择通过官方、安全的下载渠道来安装游戏，谨慎使用来历不明的游戏客户端或游戏外挂，防止遭受损失；


2. 安装360安全卫士（下载地址：weishi.360.cn），能及时拦截查杀木马，避免沦为棋牌游戏木马的受害者；


3. 开启360安全卫士“网页安全防护”功能，一键判别各类虚假诈骗网页，拦截钓鱼网站、危险链接，保障计算机信息安全。

附录