一個假冒的 Nokia 台灣區網站可能讓拜訪者被植入鍵盤側錄程式，以竊取天堂遊戲的帳號密碼
 

Websense® Security Labs™ 在監視網際網路上的流量以及網站的過程中發現，一個假冒的 Nokia 台灣區網站，將會讓拜訪的使用者有機會被植入一個「鍵盤側錄(Keylogger)」的木馬。該木馬是用來竊取線上遊戲--天堂(Lineage)玩家的帳號密碼。

假冒的 Nokia 台灣區網站，將會讓拜訪的使用者有機會被植入一個「鍵盤側錄(Keylogger)」的木馬。該木馬是用來竊取線上遊戲--天堂(Lineage)玩家的帳號密碼。這組惡意程式的檔名為main_n80.scr，目前已經發現至少一個網站含有該組惡意程式。

前述假冒的Nokia台灣區網站，帶有疑假亂真的網址，並且以盜鏈的方式從真的 Nokia 台灣區網站帶出相關網頁圖片。而依據該網站所存在的 IP 來看，主機地點應該是在香港，而網域名稱申請的名義也是用假的資料，因此尚未追查得到幕後的主使者。

而關於該惡意程式的感染細節，描述如下。

這支 main_80.scr 偽裝的螢幕保護程式，其實是一個自我解壓縮檔(SFX, self-extracting executable)，解開後是下面的四個檔案。

* download.exe
* winlogin.exe
* server.exe
* error.jpg

檔 main_80.scr 被執行時，它會利用 download.exe 來複製相關的檔案到 system32 目錄中，並且執行偽裝的 run32dll.exe。而這個假的 run32dll.exe 會顯示 error.jpg 的一個錯誤畫面，使用者誤以為程式有錯，而將其關閉後就沒有理它，但此時這支 run32dll.exe 會繼續常駐執行，並且啟動其他相關的惡意程式。

這些惡意程式會修改註冊資料(Registry)，以確保下次使用者重開機時，惡意程式會自動啟動，並且檢查天堂線上遊戲是否存在。 感染系統被修改的檔案都是位於 system32 下，並說明如下︰

Kerne0110.exe 是惡意程式 winlogin.exe 的分身
Rundll32.exe 是惡意程式 download.exe 的分身
gg.bat 被建立
_2dll.dll 被建立
microsoftie0110.dll 被建立
msabc.dll 被建立
pKerme123.dll 被建立
RegistryInfo.dll 被建立
檢查 「天堂遊戲(Lineage)」是否已經安裝
假冒網站的內容如下，看起來真的以假亂真。

http://www.ithome.com.tw/