[转译] MSRT观测 - 网络游戏密码盗窃者
<<本文章转译自 Microsoft Malware Protection Center 博客文章 "MSRT Observations – Online Game Password Stealers">> |
2月发布的MSRT添加了新的威胁家族查杀,Win32/Srizbi, 对于此问题Vince在上周讨论中也曾谈及。截至2月16日, MSRT清除了38697台被Srizbi威胁家族感染的机器。此数量是2007年9月同时间段中清除Win32/Nuwar或"Storm" 蠕虫总量的14.1 %。
那么,名列本月检测和删除名单之首的威胁家族是哪些呢?是在线游戏密码盗取者(PWS)Win32/Taterf和Win32/Frethog,它们分别以MSRT二月发布一周后共清除被其感染机器 981051和316971台而排名第1和第2位,其中Taterf的查杀数量已经比1月份的总量高出了171%。
以下是MSRT在发布一周后对于前十名威胁家族的2月遥测:
排名 |
家族 |
被清除威胁的机器数量 |
1 |
Taterf |
981,051 |
2 |
Frethog |
316,971 |
3 |
Renos |
270,395 |
4 |
Alureon |
205,930 |
5 |
Tibs |
148,866 |
6 |
Vundo |
116,837 |
7 |
Bancos |
114,190 |
8 |
FakeXPA |
110,855 |
9 |
Yektel |
101,773 |
10 |
Banker |
81,873 |
在上期的Security Intelligence Report (SIR)中,微软观察到PWS是威胁领域中的关键所在。
越来越普及的大型多人在线角色扮演游戏( MMORPGs )创造了一种新的网络经济。参与者拍卖来之不易的虚拟 " 黄金 " 和游戏装备以换取现实世界中的现金。虽然游戏厂商通常会阻止这种交易,并且惩罚参与者,但是拥有一个优良属性、丰富库存的游戏人物通常可以从玩家那里卖得几百美元。不可避免地,这也导致了一类新的威胁 -- 窃取玩家游戏密码窃贼的蠕虫和特洛伊木马的产生,它们帮助盗窃者获得可以拍卖的不义之财。 - 62 页 , Microsoft Security Intelligence Report January through June 2008
MMPC持续监测着PWS威胁的活动情况。在过去8个月,许多威胁一直相当流行。下图的趋势表明,自2008年6月添加到MSRT检测列表后,Taterf 和 Frethog 保持着相当高的活跃程度。 Taterf从未跌出前5名,而 Frethog除了去年的11月和12月,一直排名前5。
这代表什么呢?与去年11月和12月我们侧重的流氓安全软件相比,PWS威胁似乎具有更强的抵抗力和生命周期。(Win32/FakeSecSen rogue,MSRT 2008年11月添加的威胁家族,1个月后从第1名跌出了前20; Win32/FakeXPA rogue, 2008年12月添加的MSRT威胁家族,自12月排名第1后如今排名第9)与此同时,恶意软件编写者正忙着更新Taterf和Frethog,使这些威胁能够具有高度多态性,并且向多个犯罪团伙分发基于相同基础代码的变种。本月初,我们仍能看到17070个不同的Taterf文件和26420 个不同的Frethog文件。
以下是2月发布的MSRT检测到的十大Win32/Taterf文件
前十位 10 Taterf 的 Sha1 |
被清除威胁的机器数量 |
0x4D5C36EBFF00262E08FF12DC6B9CC3F297B93A76 |
197,184 |
0x35072F85D8E5AD7D731BCE01295C2108FCD55C85 |
147,390 |
0xD7748D299E65AD47D1A48D8E2408612E35A143AC |
66,505 |
0xB3299A705AF4A1E5F6C2FCE2316BB665A0F4E550 |
56,204 |
0x00B366551030D6D20D31C7254636CBCEABB53EAF |
47,302 |
0x68DCEC00E799ED4351EFD4A1D74AE016DB72D2A6 |
47,193 |
0xFC22B927A8371FF5DA758BA8CF10DCEA30AA5279 |
43,344 |
0xD1EB3B53B60277E8CF87F5C7FB2EE526600683AB |
38,490 |
0x814D454466BAB020ABCD71F5097E96732D45E559 |
33,235 |
0xBC7A31198F890C27D31AEA70A54A9CC37CB3F1CF |
32,505 |
以下是2月发布的MSRT检测到的十大Win32/Frethog文件:
前十位 Frethog 的 Sha1 |
被清除威胁的机器数量 |
0x282CA82931E7D3C80074A7506DCF5B2041B02D38 |
62,649 |
0xFD747631398350020A1EE126B1E3C27668194809 |
40,798 |
0xF7C3DD41D5F385C569B2D0C2C3D94904189A2442 |
21,360 |
0x1E60883D943AFA395708F583AE33FCE6935867DA |
16,142 |
0x297C4A4CBA246B70F12EBAADDC48B5D65A41A875 |
11,037 |
0xD18CF04FC57D0111AA436258AE7DCA9A00645FA0 |
11,017 |
0x1FA01DC607E5D2FA5893A610DAB49C2DDC96CDB5 |
10,014 |
0x131C8DC19A6C301BEBB4CF27F231064789A778A5 |
9,695 |
0xB5EF7032C2E81D6BD99DB6E7A30B43C6063F1EC0 |
8,055 |
0x6AF19AC78B47FE46AE71ECBD584D1CB6A9CDDE2E |
6,392 |
PWS在地理分布上的主要转变是,中国受感染的机器总量不再是世界排名前十位。相比之下,在2008年,中国是PWS最流行的地区,Matt McCormack在他的6月博客,Jeff Williams在他的8月博客中都提到过。但是,这并不意味着恶意软件作者正在退出中国。2009年Chun Feng在他的VB文章,"Playing with shadows - exposing the black market for online game password theft" 中写到,在中国预计,一个在线网络游戏拥有的市场约170.3亿人民币(24.3亿美元)。在这种诱惑下,恶意软件编写者的肯定想要分享一块馅饼。如果阅读过Chun的有关恶意软件的地下经济的文章,你就不会希望自己的ID在那里被拍卖。
Win32/Taterf, 2009年 2月第1周:
排名 |
国家 / 地区 |
被清除威胁的机器 |
1 |
美国 |
127,833 |
2 |
台湾 |
113,944 |
3 |
韩国 |
112,784 |
4 |
土耳其 |
112,464 |
5 |
西班牙 |
93,168 |
6 |
巴西 |
72,196 |
7 |
日本 |
53,536 |
8 |
法国 |
49,688 |
9 |
波兰 |
47,558 |
10 |
墨西哥 |
47,512 |
11 |
俄罗斯 |
18,494 |
12 |
意大利 |
16,588 |
13 |
香港 |
9,849 |
14 |
沙特阿拉伯 |
9,757 |
15 |
哥伦比亚 |
7,953 |
16 |
英国 |
7,953 |
17 |
泰国 |
5,626 |
18 |
智利 |
5,329 |
19 |
葡萄牙 |
4,579 |
20 |
秘鲁 |
4,375 |
其他 |
58,248 |
注 : 中国在 Win32/Taterf 名单上排位 36
Win32/Frethog, 2009年 2月第1周:
排名 |
国家/地区 |
被 清除 威胁的机器 |
1 |
美国 |
44,859 |
2 |
台湾 |
38,804 |
3 |
土耳其 |
32,650 |
4 |
韩国 |
32,122 |
5 |
巴西 |
22,460 |
6 |
西班牙 |
24,858 |
7 |
法国 |
15,072 |
8 |
波兰 |
12,704 |
9 |
墨西哥 |
12,094 |
10 |
中国 |
7,899 |
11 |
意大利 |
4,520 |
12 |
沙特阿拉伯 |
3,277 |
13 |
香港 |
2,838 |
14 |
英国 |
2,595 |
15 |
俄国 |
2,564 |
16 |
哥伦比亚 |
2,224 |
17 |
泰国 |
1,957 |
18 |
智利 |
1,569 |
19 |
日本 |
1,374 |
20 |
委内瑞拉 |
1,315 |
其他 |
18,808 |
我们发现至少有以下游戏和游戏平台是Taterf和Frethog作者针对的对象
- Rainbow Island
- Cabal Online
- A Chinese Odyssey
- Hao Fang Battle Net
- Lineage
- Gamania
- MapleStory
- Qqgame
- Legend of Mir
- World Of Warcraft
如果您在玩上述游戏,我们建议您阅读Jeremy Croy的博客,同时,请您在在线游戏的过程中提高谨慎,特别是在网吧登录时。在家里,您可以帮自己一个忙,安装一套完整的AV产品。最低限度,如果怀疑自己的电脑已感染病毒,可以登陆https://safety.live.com,运行Microsoft Windows Live safety scanner做一次病毒扫描。
—Scott Wu