[转译] MSRT观测 - 网络游戏密码盗窃者

2月发布的MSRT添加了新的威胁家族查杀，Win32/Srizbi， 对于此问题Vince在上周讨论中也曾谈及。截至2月16日， MSRT清除了38697台被Srizbi威胁家族感染的机器。此数量是2007年9月同时间段中清除Win32/Nuwar或"Storm" 蠕虫总量的14.1 ％。

那么，名列本月检测和删除名单之首的威胁家族是哪些呢？是在线游戏密码盗取者（PWS）Win32/Taterf和Win32/Frethog，它们分别以MSRT二月发布一周后共清除被其感染机器 981051和316971台而排名第1和第2位，其中Taterf的查杀数量已经比1月份的总量高出了171%。

以下是MSRT在发布一周后对于前十名威胁家族的2月遥测：

在上期的Security Intelligence Report (SIR)中，微软观察到PWS是威胁领域中的关键所在。

越来越普及的大型多人在线角色扮演游戏（ MMORPGs ）创造了一种新的网络经济。参与者拍卖来之不易的虚拟 " 黄金 " 和游戏装备以换取现实世界中的现金。虽然游戏厂商通常会阻止这种交易，并且惩罚参与者，但是拥有一个优良属性、丰富库存的游戏人物通常可以从玩家那里卖得几百美元。不可避免地，这也导致了一类新的威胁 -- 窃取玩家游戏密码窃贼的蠕虫和特洛伊木马的产生，它们帮助盗窃者获得可以拍卖的不义之财。 - 62 页 ， Microsoft Security Intelligence Report January through June 2008

MMPC持续监测着PWS威胁的活动情况。在过去8个月，许多威胁一直相当流行。下图的趋势表明，自2008年6月添加到MSRT检测列表后，Taterf 和 Frethog 保持着相当高的活跃程度。 Taterf从未跌出前5名，而 Frethog除了去年的11月和12月，一直排名前5。

这代表什么呢？与去年11月和12月我们侧重的流氓安全软件相比，PWS威胁似乎具有更强的抵抗力和生命周期。(Win32/FakeSecSen rogue，MSRT 2008年11月添加的威胁家族，1个月后从第1名跌出了前20; Win32/FakeXPA rogue， 2008年12月添加的MSRT威胁家族，自12月排名第1后如今排名第9）与此同时，恶意软件编写者正忙着更新Taterf和Frethog，使这些威胁能够具有高度多态性，并且向多个犯罪团伙分发基于相同基础代码的变种。本月初，我们仍能看到17070个不同的Taterf文件和26420 个不同的Frethog文件。

以下是2月发布的MSRT检测到的十大Win32/Taterf文件

以下是2月发布的MSRT检测到的十大Win32/Frethog文件：

PWS在地理分布上的主要转变是，中国受感染的机器总量不再是世界排名前十位。相比之下，在2008年，中国是PWS最流行的地区，Matt McCormack在他的6月博客，Jeff Williams在他的8月博客中都提到过。但是，这并不意味着恶意软件作者正在退出中国。2009年Chun Feng在他的VB文章，"Playing with shadows - exposing the black market for online game password theft" 中写到，在中国预计，一个在线网络游戏拥有的市场约170.3亿人民币（24.3亿美元）。在这种诱惑下，恶意软件编写者的肯定想要分享一块馅饼。如果阅读过Chun的有关恶意软件的地下经济的文章，你就不会希望自己的ID在那里被拍卖。

Win32/Taterf, 2009年 2月第1周:

注 : 中国在 Win32/Taterf 名单上排位 36

Win32/Frethog, 2009年 2月第1周:

我们发现至少有以下游戏和游戏平台是Taterf和Frethog作者针对的对象

• Rainbow Island
• Cabal Online
• A Chinese Odyssey
• Hao Fang Battle Net
• Lineage
• Gamania
• MapleStory
• Qqgame
• Legend of Mir
• World Of Warcraft

如果您在玩上述游戏，我们建议您阅读Jeremy Croy的博客，同时，请您在在线游戏的过程中提高谨慎，特别是在网吧登录时。在家里，您可以帮自己一个忙，安装一套完整的AV产品。最低限度，如果怀疑自己的电脑已感染病毒，可以登陆https://safety.live.com，运行Microsoft Windows Live safety scanner做一次病毒扫描。

—Scott Wu