AVG 揭露伪 “ 456 游戏 ”黑幕 提醒玩家不要给木马开后门

近日 AVG 中国病毒实验室截获了一系列依附于 456 游戏的病毒样本，这些样本与以往的病毒扩散渠道不同，不是一般的通过网站挂马或者诱骗点击，而是与正常的游戏程序打包在一起，经由虚假网站欺骗用户下载运行。

456 游戏是国内的一个联机的小游戏平台，类似于 QQ 游戏。而搜索 “ 456 游戏 ” 确有许多完全相同的结果。

除此之外还有 www.game456.com.cn ， www.geme456.com ， www.game456.com.ro/ 等域名，内容和真正的网站看起来一模一样。

下载一个假网站提供的游戏大厅，安装和游戏看起来也都很正常。游戏的主程序也是合法的。

可是运行游戏的同时，木马已经被植入了系统。

原因在于游戏的 dll 文件被替换，木马借游戏大厅运行加载起来。

假的 dunzip32.dll 加载后读取 config.dat, 解密其中隐藏的代码，将其映射为一个 dll, 执行 InstallMain 导出函数。

InstallMain 函数创建服务指向文件 lobby.exe ，并且保存解密的文件 logsysex.sep ，将其作为共享进程服务开机自启动。

Logsysex.sep 主动同远端地址连接，从服务端下载加密模块，解密加载运行。

除此之外虚假 456 游戏安装包在各杀软对木马进行检测后还进行了更新。最新的 456game 游戏大厅不再有 dunzip32.dll 劫持，而是替换一个 exe 文件。

游戏大厅在登录检测更新时会运行这个文件。这个被替换的进程会释放一个加密的 exe ，保存为 ini 文件，并且连接远程服务器下载新木马，根据用户机器上的安装的杀软进行不同的行为。

虚假 456 游戏木马是地下恶意软件集团有组织有预谋的针对特定游戏玩家的黑客行为，据称已经有大量玩家感染此后门。目前， AVG 已经能够有效检测到这些木马和安装包;但是， AVG 不得不提醒广大玩家，下载游戏一定要从官方渠道，并且需要留意域名，小心被虚假网站钓鱼。