《暗黑破壞神3》木馬感染主程序 并附送WOW木馬

    隨著暗黑3玩家安全意識的提高，通過泄漏信息盜號的現(xiàn)象已經(jīng)在逐步減少。雖然猜密碼不行了，但盜號者是不會放過盜號木馬這種打劫玩家的傳統(tǒng)方式的。在開服的近兩月時間里，地下盜號產(chǎn)業(yè)也完成了木馬的開發(fā)周期。據(jù)來自AVG中國病毒實驗室的最新消息，他們剛剛截獲一款專門針對暗黑3的木馬，并且該木馬采用了比較少見的感染游戲文件的方式，還附送魔獸世界木馬一枚，提醒玩家們小心防范了。

    AVG中國病毒實驗室安全人員給我們詳細分析了這種木馬的危害方式，據(jù)了解該木馬來源于群郵件和群共享，名為《暗黑3拍賣行使用詳解》。

    看起來像一個自解壓包，但無法用解壓軟件打開。運行后有提示。

    其實數(shù)據(jù)并沒有損壞。這個母體做的事情是釋放出 read.me 和rt.b兩個dll文件并且加載他們。然后彈出一個提示迷惑觀眾。

    沒有讓大家失望，read.me是針對暗黑3的木馬，rt.b是附贈的魔獸世界木馬。read.me 載入后，在全盤搜索暗黑3 主程序，Diablo III.exe，找到后對其進行改寫。改變其入口，指向一段自己寫入的指令，自己的指令執(zhí)行完后再跳入原始入口地址。并釋放一個dll到暗黑3目錄下，取名為patch.html。

    改寫后的Diablo III.exe

    可以看到，病毒感染暗黑3主程序的目的就是每次運行時首先加載patch.html。Patch.html是執(zhí)行盜號的部分。