[转译] MSRT观测 – 网络游戏密码盗窃者


 

<<本文章转译自 Microsoft Malware Protection Center 博客文章 "MSRT Observations – Online Game Password Stealers">>

2月发布的MSRT添加了新的威胁家族查杀,Win32/Srizbi, 对于此问题Vince在上周讨论中也曾谈及。截至2月16日, MSRT清除了38697台被Srizbi威胁家族感染的机器。此数量是2007年9月同时间段中清除Win32/Nuwar或"Storm" 蠕虫总量的14.1 %。

那么,名列本月检测和删除名单之首的威胁家族是哪些呢?是在线游戏密码盗取者(PWS)Win32/TaterfWin32/Frethog,它们分别以MSRT二月发布一周后共清除被其感染机器 981051和316971台而排名第1和第2位,其中Taterf的查杀数量已经比1月份的总量高出了171%。

以下是MSRT在发布一周后对于前十名威胁家族的2月遥测:

排名

家族

被清除威胁的机器数量

1

Taterf

981,051

2

Frethog

316,971

3

Renos

270,395

4

Alureon

205,930

5

Tibs

148,866

6

Vundo

116,837

7

Bancos

114,190

8

FakeXPA

110,855

9

Yektel

101,773

10

Banker

81,873

 

 

 

 

 

 

 

 

 

 

在上期的Security Intelligence Report (SIR)中,微软观察到PWS是威胁领域中的关键所在。

越来越普及的大型多人在线角色扮演游戏( MMORPGs)创造了一种新的网络经济。参与者拍卖来之不易的虚拟"黄金"和游戏装备以换取现实世界中的现金。虽然游戏厂商通常会阻止这种交易,并且惩罚参与者,但是拥有一个优良属性、丰富库存的游戏人物通常可以从玩家那里卖得几百美元。不可避免地,这也导致了一类新的威胁--窃取玩家游戏密码窃贼的蠕虫和特洛伊木马的产生,它们帮助盗窃者获得可以拍卖的不义之财。 - 62 Microsoft Security Intelligence Report January through June 2008

MMPC持续监测着PWS威胁的活动情况。在过去8个月,许多威胁一直相当流行。下图的趋势表明,自2008年6月添加到MSRT检测列表后,Taterf 和 Frethog 保持着相当高的活跃程度。 Taterf从未跌出前5名,而 Frethog除了去年的11月和12月,一直排名前5。

 


 

这代表什么呢?与去年11月和12月我们侧重的流氓安全软件相比,PWS威胁似乎具有更强的抵抗力和生命周期。(Win32/FakeSecSen rogue,MSRT 2008年11月添加的威胁家族,1个月后从第1名跌出了前20; Win32/FakeXPA rogue, 2008年12月添加的MSRT威胁家族,自12月排名第1后如今排名第9)与此同时,恶意软件编写者正忙着更新Taterf和Frethog,使这些威胁能够具有高度多态性,并且向多个犯罪团伙分发基于相同基础代码的变种。本月初,我们仍能看到17070个不同的Taterf文件和26420 个不同的Frethog文件。

以下是2月发布的MSRT检测到的十大Win32/Taterf文件

前十位10 Taterf Sha1

被清除威胁的机器数量

0x4D5C36EBFF00262E08FF12DC6B9CC3F297B93A76

197,184

0x35072F85D8E5AD7D731BCE01295C2108FCD55C85

147,390

0xD7748D299E65AD47D1A48D8E2408612E35A143AC

                                  66,505

0xB3299A705AF4A1E5F6C2FCE2316BB665A0F4E550

                                  56,204

0x00B366551030D6D20D31C7254636CBCEABB53EAF

                                  47,302

0x68DCEC00E799ED4351EFD4A1D74AE016DB72D2A6

                                  47,193

0xFC22B927A8371FF5DA758BA8CF10DCEA30AA5279

                                  43,344

0xD1EB3B53B60277E8CF87F5C7FB2EE526600683AB

                                  38,490

0x814D454466BAB020ABCD71F5097E96732D45E559

                                  33,235

0xBC7A31198F890C27D31AEA70A54A9CC37CB3F1CF

                                  32,505

以下是2月发布的MSRT检测到的十大Win32/Frethog文件:

前十位Frethog Sha1

被清除威胁的机器数量

0x282CA82931E7D3C80074A7506DCF5B2041B02D38

62,649

0xFD747631398350020A1EE126B1E3C27668194809

40,798

0xF7C3DD41D5F385C569B2D0C2C3D94904189A2442

21,360

0x1E60883D943AFA395708F583AE33FCE6935867DA

16,142

0x297C4A4CBA246B70F12EBAADDC48B5D65A41A875

11,037

0xD18CF04FC57D0111AA436258AE7DCA9A00645FA0

11,017

0x1FA01DC607E5D2FA5893A610DAB49C2DDC96CDB5

10,014

0x131C8DC19A6C301BEBB4CF27F231064789A778A5

9,695

0xB5EF7032C2E81D6BD99DB6E7A30B43C6063F1EC0

8,055

0x6AF19AC78B47FE46AE71ECBD584D1CB6A9CDDE2E

                             6,392

 

PWS在地理分布上的主要转变是,中国受感染的机器总量不再是世界排名前十位。相比之下,在2008年,中国是PWS最流行的地区,Matt McCormack在他的6月博客,Jeff Williams在他的8月博客中都提到过。但是,这并不意味着恶意软件作者正在退出中国。2009年Chun Feng在他的VB文章,"Playing with shadows - exposing the black market for online game password theft" 中写到,在中国预计,一个在线网络游戏拥有的市场约170.3亿人民币(24.3亿美元)。在这种诱惑下,恶意软件编写者的肯定想要分享一块馅饼。如果阅读过Chun的有关恶意软件的地下经济的文章,你就不会希望自己的ID在那里被拍卖。

Win32/Taterf, 2009年 2月第1周:

排名

国家/地区

清除威胁的机器

1

美国

                                       127,833

2

台湾

                                       113,944

3

韩国

                                       112,784

4

土耳其

                                       112,464

5

西班牙

                                          93,168

6

巴西

                                          72,196

7

日本

                                          53,536

8

法国

                                          49,688

9

波兰

                                          47,558

10

墨西哥

                                          47,512

11

俄罗斯

                                          18,494

12

意大利

                                          16,588

13

香港

                                            9,849

14

沙特阿拉伯

                                            9,757

15

哥伦比亚

                                            7,953

16

英国

                                            7,953

17

泰国

                                            5,626

18

智利

                                            5,329

19

葡萄牙

                                            4,579

20

秘鲁

                                            4,375

 

其他

                                          58,248

: 中国在Win32/Taterf名单上排位36

Win32/Frethog, 2009 2月第1:

排名

国家/地区

清除威胁的机器

1

美国

                                            44,859

2

台湾

                                            38,804

3

土耳其

                                            32,650

4

韩国

                                            32,122

5

巴西

                                            22,460

6

西班牙

                                            24,858

7

法国

                                            15,072

8

波兰

                                            12,704

9

墨西哥

                                            12,094

10

中国

                                               7,899

11

意大利

                                               4,520

12

沙特阿拉伯

                                               3,277

13

香港

                                               2,838

14

英国

                                               2,595

15

俄国

                                               2,564

16

哥伦比亚

                                               2,224

17

泰国

                                               1,957

18

智利

                                               1,569

19

日本

                                               1,374

20

委内瑞拉

                                               1,315

 

其他

                                            18,808

我们发现至少有以下游戏和游戏平台是TaterfFrethog作者针对的对象

  • Rainbow Island

  • Cabal Online

  • A Chinese Odyssey

  • Hao Fang Battle Net

  • Lineage

  • Gamania

  • MapleStory

  • Qqgame

  • Legend of Mir

  • World Of Warcraft

如果您在玩上述游戏,我们建议您阅读Jeremy Croy的博客,同时,请您在在线游戏的过程中提高谨慎,特别是在网吧登录时。在家里,您可以帮自己一个忙,安装一套完整的AV产品。最低限度,如果怀疑自己的电脑已感染病毒,可以登陆http://safety.live.com运行Microsoft Windows Live safety scanner做一次病毒扫描

 

Scott Wu


Comments (0)

Skip to main content