在遊戲的世界裡，棋牌類遊戲以其獨特的魅力深受越來越多的玩家喜愛，而當玩家們準備大筆一揮、酣暢淋漓地氪金充值打遊戲時，殊不知錢包早已被邪魅的眼睛盯上……

        近期，360安全大腦監測發現一批通過搜尋引擎廣告位進行大量傳播的遊戲盜號木馬，該木馬瞄準“1378棋牌遊戲”和“850棋牌遊戲”的使用者群體進行盜號，一旦使用者號碼被盜，“虛擬財產”將遭受難以估計的損失，360安全大腦對此進行了深入的追蹤和攔截查殺。

搜尋引擎+貼吧廣告，虛假連結盜取玩家遊戲金幣

        要說，現在的盜號木馬可謂是膽大包天、猖獗成性，竟公然以搜尋引擎廣告位的形式進行瘋狂盜號、掠幣。當我們在搜尋引擎中搜尋關鍵字“1378”和“850”時，便發現其第一二位的搜尋結果已被釣魚網站以廣告位形式佔據。

        由於二者是同一域名，360安全專家以“1378”為例深入溯源分析，繼續點選“1378”廣告進入網站，發現這個釣魚網站裡的所有網頁連結竟然都指向同一個URL： hxxp://1378.hongfeixue.cn/1378game.exe，唯一目的也昭然若揭：引誘玩家下載他們的釣魚客戶端。

        繼續檢視搜尋引擎的檢索結果，發現不僅釣魚網站，“1378貼吧”也存在大量盜號木馬的廣告連結，有的甚至“霸佔”貼吧最顯眼的置頂位置，讓搜尋引擎廣告位的釣魚效果進一步凸顯。

        在貼吧中，通過翻看“1378”使用者群體所討論的一些資訊，可以讓我們一窺這條黑色產業鏈的利潤所暴露出的冰山一角。

        首先，該盜號木馬通過廣告投放吸引了一大批氪金玩家，大額充值遊戲，不少中招使用者反饋損失金額動輒上千至幾萬、十幾萬，盜號木馬牟取暴利起來，簡直是瘋狂。

        其次，在貼吧討論中，我們發現似乎還有一類專門倒賣“虛擬金幣”的代理被稱呼為“銀商”，順帶提一句，除了木馬盜取遊戲幣，事實上不少玩家通過這種不可靠的渠道充值，同樣也被騙取錢財。

        接著，所謂廣撒網，多賺錢，類似這種釣魚網站的攻擊和傳播由來已久，作案團伙早已製作了大量的釣魚頁面來運作此類黑色產業，下圖是360安全大腦追蹤發現到的其他釣魚網站的留存：

霸道橫行，也難逃被揭穿“真面目”的命運

        縱使盜號木馬如何霸道橫行、頂風作案，終將難逃360安全大腦對其的追蹤和查殺攔截。鑑於“1378釣魚模組”和“850釣魚模組”手法基本一致，360安全專家以“1378棋牌遊戲”為例，剖析該盜號木馬的工作流程。

        當使用者點選桌面圖示時，首先是autoupdate.exe啟動，接著動態載入木馬模組D3DX9_4*.DLL，這時木馬模組檢測到主模組名為autoupdate.exe將進行持久化的流程，阻止木馬模組被遊戲原本的更新檢查替換掉。

        當autoupdate.exe更新完畢之後，系統便會啟動遊戲主程式1378GameCenter.exe，這時D3DX9_4*.DLL將展開真正的盜號行為。不過在此之前，值得一提的是整個木馬模組的程式碼書寫風格很是嚴謹，錯誤檢查和異常處理都做的非常到位。很顯然，這不是什麼新手上路，而是有組織有計劃的花了大功夫打造出來的木馬模組。如下圖所示，判斷當前主模組名為1378GameCenter.exe之後便會展開行為。

        接著DoWork函式內建立了數個執行緒，並進行了多處HOOK，但是其中最為關鍵的是對棋牌遊戲的模組WHSocket.dll進行HOOK，這一處HOOK可以讓木馬作者直接獲取到使用者的帳號名以及密碼的MD5。

如下圖所示，輸入測試用的帳號密碼並登陸，可以成功獲取到我們用於測試的帳號名稱和密碼的MD5。

360安全大腦打假查殺：氪金保險槓，遊戲更安心

        由於線上棋牌遊戲受眾廣泛且其中涉及到的潛在利潤巨大，棋牌遊戲成為目前釣魚高發區。今年年初，360安全大腦就有監測發現針對“集結號”棋牌遊戲的使用者群體進行盜號的木馬，該木馬同樣採取通過搜尋引擎廣告位的形式進行傳播。此次針對“1378”和“850”棋牌類遊戲的盜號，實則換湯不換藥，換瓶不換酒。

        針對此類釣魚，360安全大腦見招拆招，已進行了專項查殺，並建議廣大玩家使用者：

1.    選擇通過官方、安全的下載渠道來安裝遊戲，謹慎使用來歷不明的遊戲客戶端或遊戲外掛，防止遭受損失；

2.    安裝360安全衛士（下載地址：weishi.360.cn），能及時攔截查殺木馬，避免淪為棋牌遊戲木馬的受害者；

3.    開啟360安全衛士“網頁安全防護”功能，辨別各類虛假詐騙網頁，攔截釣魚網站、危險連結，保障計算機資訊保安。

附錄