统计表明,多数用户对来自网络犯罪分子和恶意程序的威胁估计不足。

  • 仅有15%的用户知道自己可能成为网络犯罪分子的进攻目标。
  • 三分之一用户认为不法分子的攻击未必会造成财产损失。
  • 绝大多数用户认为没人对他们的信息感兴趣!

很多电脑游戏爱好者为了不影响电脑运行速度不使用反病毒保护,因而成为病毒编写者的攻击对象。这些玩家技能等级不同,可被不法分子盗取的“财物”数量也各不相同。

谁是虚拟游戏世界网络犯罪的受害者?

玩家大致可分为以下三类:

  • 超级玩家和骨灰级玩家。在他们的宝箱中有相当多的物品。
  • 普通爱好者。对这些人来说,游戏是释放压力的方式。不法分子能利用其电脑和账号进行攻击和勒索。
  • 未成年人,可能是普通爱好者或超级玩家。这种情况下黑客攻击的受害者是他们的父母,确切的说是父母的钱包。不法分子盗取的物品后 “免费”提供的对象就是这些未成年人。

注意!

青少年往往比较极端,一方面会视安全建议为多此一举,另一方面对越是禁止的事越有愿望尝试,所以使用Dr.Web父母控制来防止被感染和信息、财物被盗是做父母的绝对需要采取的安全措施!

Doctor Web公司病毒分析师长期积累的经验说明,针对玩家的病毒威胁绝对不是儿戏!

Вирусы произошли от… игр!

病毒来自……游戏!

尽管难以置信,然而事实确实如此:首批出现的恶意程序中有一种就是名为Pervading Animal的电脑游戏,而且不是病毒,而是木马!这一游戏软件通过提示问题来确定用户选定的动物名称。但软件存在错误,造成添加新问题时新版本不是取代老版本,而是复制到其他文件目录(自我繁殖),这样过段时间就会占满磁盘。Pervading Animal通过受害者进行传播,并暗中执行用户不知情的操作。这说明,这种游戏是典型的木马。

character

窃取的是玩家的什么东西?

可捞到好处的地方都会引起不法分子的“关注”。玩家账号和财物也不例外,包括所有玩家感兴趣、并能够盗取后出售的所有东西。

玩家对什么感兴趣?

  • 快速跳级的功能或购买已跳级的账号。
  • 超级角色,拥有强大威力和经验,具备各种装备、盔甲、坐骑(有时是极为罕见的坐骑)、整套技能和职业其他游戏物品和功能。这些物品和功能越多,账号就越值钱,有时会超过数百美元。

    #drweb

  • 游戏物品的购买、出售和交换。有时使用的真货币。
#drweb

不法分子猎取的对象是玩家的账号和游戏物品,包括盗取后能够出售的所有东西。

跳级账号和昂贵游戏物品价格不菲,可以毫不夸张地说,玩家及其财物是令不法分子垂涎的猎物。

不法分子如何利用恶意程序盗取账号和物品?

恶意程序盗取物品示例

Trojan.SteamLogger.1用于窃取Dota 2、Counter-Strike: Global Offensive и Team Fortress 2游戏用户的贵重物品。Doctor Web反病毒实验室技术人员在2014年10月侦测到这一木马。

木马Trojan.SteamLogger.1的基本模块启动并初始化之后,会在被感染电脑内存中查找名为Steam的进程,检查用户是否登录账户。如果没有登录,恶意程序将等待玩家登录,然后提取用户的Steam账户信息(SteamGuard、steam-id、security token),并将数据发送给不法分子。随后Trojan.SteamLogger.1将接收到帐号列表来转移受害者游戏物品。恶意程序试图窃取最珍贵的游戏物品、宝箱钥匙和宝箱。Trojan.SteamLogger.1会密切监视玩家,看玩家是否想出售自己的虚拟物品,一旦发现,木马就会试图阻止玩家,自动取消对物品的出售。

木马将收集的所有信息发送到不法分子的服务器,然后检查Steam设置中是否启用自动登录,如未启用,就利用单独线程启动键盘记录器(键盘输入截收器),并将其收集到的数据以间隔15秒的频率发送到犯罪分子的服务器。

Trojan.SteamLogger.1伪装成出售或交换游戏物品的建议,在Steam聊天室或专门论坛传播。

#drweb

#drweb

#drweb

不法分子如何从盗取的账号获取利益?

  • 出售账号:最初不法分子只是试图通过专门创建的互联网商店将被盗账号出售。
  • 取走(占有)物品并将其出售:诈骗分子能够将与账号绑定的所有物品转到另一个账户上(最终用于出售)。
  • 骗取钱财:被盗账号的新主人可利用游戏公会中队友的信任获得虚拟货币或抢劫公会银行。对账号而言将是名誉彻底被毁,继而会被禁止访问游戏服务器,这对其合法拥有者甚至会造成心理伤害(特别是对心理脆弱的孩子来说,可能导致非常严重的后果)。
  • 传播钓鱼链接:不法分子以账号主人的名义传播钓鱼链接。如发布“游戏厂商活动”信息,要求在第三方网站使用用户名和密码注册,或者对伪装成游戏人物属性包装软件的病毒和木马进行宣传,并加以传播。这样也会导致账号名誉被毁!
  • 进行勒索:玩家的财物对于玩家来说非常重要,不法分子锁定账号后利用玩家的这种心理索要赎金。

不法分子如何感染玩家的电脑?

攻击玩家的一个方法是传播感染电脑的木马。

不法分子利用个人通讯系统以被盗玩家的名义群发钓鱼网站(欺诈网站)链接。如发布“游戏厂商活动”信息,要求在第三方网站使用用户名和密码注册后参与,或者对伪装成游戏人物属性包装软件的病毒和木马进行宣传,加以传播。易轻信以及缺少经验的青少年很容易受骗。

#drweb

用于游戏交易的Steam钱包是不法分子的另一目标(使用钓鱼也可获取钱包访问权限)。比如向Twitch服务用户群发参与抽奖的建议。建议受害者赢取射击游戏CounterStrike: Global Offensive的数字武器和收集到的物品。一旦恶意软件获取Steam账号访问权限,则安装到玩家电脑中的木马会暗中截图、添加新朋友、使用Steam钱财购买物品、自动(!!)发送并进行交易。在盗取财物后,木马会将其在Steam Community Market打折出售,能低至七五折。

不法分子利用是类似Twitch服务的访问者已习惯了此类消息。Twitch也是最热门的一个streaming(直播)游戏平台,在线转播的爱好者能够在网上冲浪时赚钱。许多网上冲浪者能够通过合法渠道得到支持者,但一些希望轻而易举赚大钱的人还是会使用僵尸网络(被感染电脑网)来伪造订购者数量。游戏世界还存在这种影子经济。

定向攻击Steam平台的恶意程序示例

2014年8月末各游戏论坛出现了Steam平台用户的帖子,称他们的珍贵游戏物品和资源突然消失。“虚拟盗窃”的罪魁祸首是木马Trojan.SteamBurglar.1。不法分子在Steam聊天室或专门论坛群发消息,建议玩家观看待出售或交换的虚拟武器和其它物品的截图。Trojan.SteamBurglar.1向电脑被感染的用户展示这些图片的同时,木马会在内存中搜索steam.exe进程,从中提取游戏物品信息,找出其中最贵重的物品,之后窃取这些物品并再次销售。被盗的物品会被发送到属于不法分子的一个账户中:

screen

注意!

玩家可自己创建游戏服务器的功能可被使不法分子利用,通过伪造服务器来传播恶意程序!

不久前,Doctor Web病毒分析人员侦测到不法分子在Steam目录上创建的游戏网页的恶意软件。假网页完全复制原游戏网页的设计,用户选择假冒游戏后在不知情的情况下被重定向到下载恶意软件的网页。

下一步的攻击方式取决于病毒编写者嵌入木马的代码。用户下载的很有可能会是目前最危险的木马加密器。

危险:加密器!

除了创建专门针对具体游戏的恶意程序,虚拟世界“阴暗面”的其他成员也想大捞一笔。目前一个很现实的安全问题是木马加密器,加密用户数据并索要解密费。此类木马能够通过恶意垃圾邮件,以通讯消息链接的形式侵入系统,从网站下载或从被感染的U盘传播到玩家电脑,以背景模式暗中操作,直到电脑上的文件被加密,屏幕上出现要求支付赎金的消息时用户才会明白被感染。

了解加密器更多详情,请点击此处

Doctor Web病毒分析师收集到的信息表明,加密器可对 Call of Duty、Minecraft、StarCraft 2、Skyrim、World of Warcraft、League of Legends、World of Tanks等热门游戏的扩展文件进行加密。

我们提醒您,Doctor Web公司仅对Dr.Web产品商业授权持有者免费解密。出现问题时请与我公司技术支持部门联系,寻求帮助。

病毒编写者利用的热门游戏

不法分子已在使用游戏本身的功能传播恶意程序。

通常与Counter-Strike服务器连接时,客户端程序会从远程节点下载客户端机器上还没有但在游戏中能使用的组件。

#drweb

#drweb

2001年,Doctor Web公司分析人员在研究过程中发现了以下情况:不法分子先是创建了一个Counter-Strike游戏服务器来传播木马程序Win32.HLLW.HLProxy(之前这一木马被视为有用的应用程序,在Counter-Strike爱好者间传播,所以许多玩家自己将此木马下载并安装到了电脑)。

木马的“分发”技术很值得注意:一旦与游戏服务器连接,就会向玩家显示专门的MOTD欢迎窗口,在此窗口有服务器广告或管理部门设定的某些权限。此窗口内容为HTML文件。不法分子创建的MOTD文件包括IFRAME隐藏组件,利用该组件可重定向到任一所属服务器,从这一服务器会下载Win32.HLLW.HLProxy并安装到受害者电脑。

木马主要功用在于能够在玩家电脑上启动代理服务器(该代理服务器在多个Counter-Strike游戏服务器的一个物理计算机上进行模拟并将相应信息传送到VALVE服务器上)。访问木马仿真的游戏服务器时,客户端程序会转移到不法分子真正的游戏服务器(玩家从这一服务器获得的是木马Win32.HLLW.HLProxy)。

因此,被感染计算机数量呈几何级数增长。

此外,木马还能够对游戏服务器和VALVE服务器组织DDos攻击,使大部分服务器先后瘫痪。可以判断,不法分子的目的之一是向游戏服务器持有人收取新玩家连接费,并向不愿被勒索的游戏服务器上组织DDos攻击。

#drweb

伪装成安卓游戏的病毒正在传播

不法分子还会利用用户对游戏的信任,将属于破坏性程序的Android.Elite.1.origin伪装成常用应用程序(包括游戏)进行传播。

#drweb

启动时,Android.Elite.1.origin试图获取移动设备管理员权限,欺骗用户正确安装应用程序必须具备此功能。获取该权限后,木马会将快速SD卡格式化,删除保存的所有数据。随后,恶意程序等待一系列常用通讯(messager)应用程序启动。

#drweb

除了格式化SD卡、部分拦截通讯工具,Android.Elite.1.origin还会以间隔5秒钟的频率向通讯簿中查找到的所有联系人群发短信,在几分钟,甚至几秒钟之内将被感染移动设备的受害者账户洗劫一空。

病毒是游戏市场的竞争武器

游戏服务器持有人之间竞争激烈,特别是针对Gametracker Top排行榜内的资源。2012年2月侦测到用于毁坏在GoldSource引擎上运行的游戏服务器(包括Counter-Strike、Half-Life)的几个恶意应用程序。其中一个已被添加到Dr.Web病毒库,命名为Flooder.HLDS,此恶意程序伪造大量玩家连接到游戏服务器,可引起服务器死机和故障。

另一个恶意程序Flooder.HLDS.2能够向服务器发送引起服务器软件故障的数据包。

这两款应用程序都在游戏论坛广泛传播,在一个月内,利用这些程序对游戏服务器进行的攻击数量激增。

值得注意的是,试图毁坏游戏服务器的不法分子使用此类破坏性程序时也会对自己造成损失。Doctor Web公司技术人员已收集到从游戏论坛下载的应用程序Flooder.HLDS.2样本,启动时木马程序BackDoor.DarkNess.47和Trojan.Wmchange.14也会感染电脑。BackDoor.DarkNess.47具有后门木马和DDos僵尸木马的功能,Trojan.Wmchange.14会在进行 WebMoney电汇时偷换被感染个人电脑内存中的电子钱包号,盗取用户账户中的钱财。因此,部分不法分子自己的电脑也会被感染,会成为病毒的受害者。

#drweb

如果您玩电脑游戏,应如何进行保护?

Doctor Web建议您:

在购买游戏服务器账号前,需仔细阅读许可协议并严格遵守。

  • 大部分游戏服务器用户必须接受的使用规则中包含关于管理部门不提供完全保障和可在不解释原因的情况下锁定任意账号的条款,许多玩家对此没有心理准备。
  • 购买账号时应遵守许可协议有关禁止账号交易的规定。

Doctor Web建议您:

购买游戏账号时应要求卖方不仅提供账号密码,恢复账号所需的密保问题答案,还要提供账号绑定邮箱的完全访问权限。

大多数游戏服务器(包括Blizzard支持的服务器)中账号都会与电子邮箱地址绑定,有时是与电话号码绑定。账号被盗时,管理部门将通过e-mail地址联系被视为账号主人的电子邮箱所有人。

Doctor Web建议您:

请将您的身份证扫描件保存在单独载体,而不要保存在玩游戏的电脑上,以避免木马将其盗走。这一建议适用于所有用户,而不仅仅适用于玩家。 账户被盗后,游戏服务器管理部门会要求您提供身份证信息,身份证扫描件或身份证照片。

游戏服务器技术支持人员不仅会要求用户发送手持身份证的照片作为证明他是账号主人的证据,还会要求发送能够确定拍摄时间的照片,如照片上要有最新的报纸。账号会还给能够提供这种照片的人。

如果您不能提供这些照片,被不法分子盗取出售的游戏账号将被锁定。钱已被不法分子骗到手,而麻烦却留给了受害者。

为避免成为木马受害者,Doctor Web建议您:

  1. 如果不能100%确定链接将转至您所需的网页,不要打开链接。
  2. 只从已知可靠来源下载游戏,只在可靠“市场”购买游戏物品。
  3. 不要在互联网公布自己的个人信息。
  4. 如果其他人问您用来验证不同服务的密保问题,不要回答。
  5. 注意电脑要及时安装操作系统所有最新更新及包括反病毒软件在内的最新软件更新。
  6. 必须使用最新版本的反病毒软件!并在每次登录游戏服务器前更新反病毒软件。

感谢您抽时间了解这些信息。