AVG：LPK网游大盗横行暑期玩网游提防

    泡泡网软件频道6月22日 高考一过，考生们身上的备考压力徒然减轻，纷纷做起了假期娱乐计划；而其他的初高中生甚至大学生们也即将迎来7月的暑假。但暑假干点什么放松好呢？玩网游是大部分男孩子的选择之一。许多网游厂商也借此推出类似“金榜题名”、“鱼跃龙门”的新服以及暑期活动，以招揽更多的玩家。但AVG不得不提醒广大的网游爱好者们，做好安全防护，千万别让“网游账号被盗”之类的不愉快而影响整个暑假。

    AVG中国病毒实验室近日截获一种最新的网游盗号木马。该盗号木马隐藏自身的手段很巧妙，只有当你的游戏运行起来之后，该木马才会激活，然后悄无声息地盗取你的网游账号和密码。我们将其命名为“LPK网游大盗”。

    该病毒的原理简单描述如下：

    1.病毒母体运行之后，找到目录windows\\system32\\下的lpk.dll文件，拷贝一份到lpk32.dll。（说明：lpk.dll是Windows的语言包文件：Language Pack，一般的包含文本输出的程序都会加载该dll，游戏也不例外。）

    病毒然后释放一份恶意的lpk.dll到temp目录，然后用这个恶意的lpk.dll覆盖掉正常的lpk.dll。

    2.为了不影响系统正常运行，这个恶意的lpk.dll是在正常的lpk.dll基础上增加了恶意的代码，执行完恶意的代码之后然后再执行正常的lpk.dll的代码。这个恶意的lpk.dll加了壳，且做了反调试处理。

    从下面的导出函数列表对比图中可以看出，病毒将lpk.dll中正常的LpkDllInitialize函数改为了DllEntryPoint。正常的lpk.dll是没有入口函数的，只作为一个函数库来使用。而恶意的lpk.dll将正常的lpk.dll的初始化函数改为DllEntryPoint这个dll入口函数，意在只要这个lpk.dll被加载，dllEntryPoint函数就被执行。

    3.脱完壳后，我们正是在DllEntryPoint里发现了病毒的恶意行为：病毒首先判断系统里是否有杀毒软件进程“V3LSvc.exe”在运行，如果有，直接退出lpk.dll所在的游戏进程。否则，病毒会盗取程序/游戏里的用户名、密码。

    病毒会判断系统是否存在上述进程，如果存在，则创建独立线程监控以获取用户的账号信息。  

    通过进程名，我们可以判断出该病毒会盗取玩家账号的游戏有如下：

    地下城与勇士(dnf.exe)
    冒险岛(maplestory.exe)
    FIFA online 2(FF2Client.exe)
    天堂(lin.bin)
    暗血(darkblood.exe)
    洛奇英雄传(Heroes.exe)
    阿玛迪斯战记(LOB.exe)
    艾尔之光(x2.exe) 

    我们在上面提到lpk.dll会被游戏加载，所以只要游戏一运行，替换后的lpk.dll中的恶意行为就会被触发。

    所以，以上网游的玩家在这个暑假玩网游的时候就得多加小心咯，以防虚拟财产失窃。目前该系列病毒已经被AVG检测为PSW.OnlineGames。

    当然不能因为存在的隐患就不玩网游，只要做好安全防护，比如安装AVG杀毒2011永久免费中文版等防盗号的安全软件，定时查杀，提高警惕，还是可以进行愉快安全的网游之旅的。■