2014.11.06

2014年秋天威胁电脑游戏爱好者的恶意程序可谓“硕果累累”：9月份Doctor Web公司曾公布侦测到窃取Dota 2用户珍贵游戏物品的木马Trojan.SteamBurglar.1的消息。而不法分子陷入并不打算就此罢手：Doctor Web公司病毒分析师侦测到了与该木马功能相似的又一恶意程序样本，将其命名为Trojan.SteamLogger.1。这个程序能给多种热门多人游戏的爱好者造成重大损失。

新木马功能是窃取Dota 2、Counter-Strike: Global Offensive和Team Fortress 2游戏用户的珍贵物品，具有键盘记录器功能，能够记录被感染计算机的键盘输入并传送给不法分子。已确定Trojan.SteamLogger.1和其前身一样，是在专门论坛或Steam聊天室中伪装成游戏物品出售或交换信息来加以广泛传播的。

此恶意程序包含三个功能模块：第一个是dropper（点滴木马），将对存储其中的主模块和服务模块进行解密，同时将服务模块命名为Update.exe，保存在临时文件夹中并启动执行，而主模块会使用一种系统方法加载到被感染计算机的内存中。随后服务模块会从不法分子的网页上下载图片，将其保存到临时文件夹，并立即在被感染的PC屏幕上显示：

服务模块在Windows程序安装使用的默认目录中检查是否存在子文件夹Common Files\Steam\，如不存在就创建。随后这一模块在该文件夹中进行自我复制，命名为SteamService.exe，并为自己指定“系统”和“隐藏”属性，随后在用于自动加载程序的系统注册表分支中写入此文件路径并启动执行。随后服务模块会向不法分子网站发送直接请求，如果没有收到回复指令“OK”，就会通过保存在木马上的代理服务器列表中的一个代理服务器与指令中心建立连接。Trojan.SteamLogger.1将被感染计算机的信息发送到命令服务器，如操作系统版本、位数以及通过逻辑分区C盘所在硬盘序列号算出的独有识别码。此外Trojan.SteamLogger.1可从不法分子服务器获取服务模块更新命令。

木马Trojan.SteamLogger.1主模块启动并初始化之后，会在被感染计算机内存中搜索带有Steam名称的进程，检测用户是否已登录账户。如果没有登录，恶意程序会等待玩家进行登录，然后获取Steam用户帐户信息（SteamGuard、steam-id、security token）并将这些信息数据发送给不法分子。随后Trojan.SteamLogger.1接收到可转移受害者游戏物品的帐号列表，将收集的所有信息发送到不法分子的的服务器上，然后检查Steam设置中是否启用自动登录，如未启用，就在单独线程中启动键盘记录器，并将其收集到的数据以间隔15秒的频率发送到犯罪分子的服务器。

Trojan.SteamLogger.1使用过滤器通过关键词“Mythical”、“Legendary”、“Arcana”、 “Immortal”、“DOTA_WearableType_Treasure_Key”、“Container”、“Supply Crate”搜索珍贵的游戏物品。恶意程序试图窃取最珍贵的游戏物品、宝箱钥匙和宝箱。同时，Trojan.SteamLogger.1会密切监视玩家，看玩家是否想出售自己的虚拟物品，一旦发现，木马就会试图阻止玩家，自动取消对物品的出售。

Trojan.SteamLogger.1主要针对Dota 2、Counter-Strike: Global Offensive和Team Fortress 2用户，但很容易就可以产生变种来窃取其他游戏的物品和工具。木马会将所有被盗的虚拟物品发送到网络犯罪分子一个游戏账号，账号信息从指令服务器获取。接下来不法分子会为被盗物品中最便宜的部分——Dota 2游戏中的宝箱钥匙——专门创建网络商店并进行出售。目前尚未完全明确病毒编写者如何出售其他游戏物品。

木马Trojan.SteamLogger.1的特征码已被添加到Dr.Web病毒库，因此Doctor Web公司反病毒软件用户的设备在可靠保护之下，此木马无法入侵。