安全公告：CN-SA10-01
发布日期：2010年05月04日
事件类型：木马
事件评估：严重

事件描述：
    最近我们发现，利用或伪装输入法的木马数量正在不断增加，其中“输入法伪装者木马”最具有代表性。该木马会盗取网游玩家的账号密码，使玩家利益受损。
    输入法是一种DLL（动态链接库文件，可执行），一般以“IME”为后缀。系统管理输入法的配置注册表键值为：HKLMSYSTEMCurrentControlSetControlKeyboard Layouts。当一个输入法被注册之后，操作系统会自动帮这个输入法的DLL加载到每个进程。“输入法伪装者木马”就利用这个特性将木马本身做成一个输入法的接口DLL，然后向系统注册。但这个DLL其实不提供输入法的功能，又由于系统允许同时安装一种以上的输入法，因此，此木马所安装的伪装输入法即不会影响用户当前的输入法，又可以获得对计算机全域的掌控，每个进程都会被自动加载这个伪装输入法，进而获取计算机的控制权。
    此木马随高级文字服务的开启而启动运行后，会遍历窗体中是否含有“梦幻诛仙”或“GAMECLIENT”等游戏，通过迷惑用户、读取游戏内存的关键信息、保存玩家的游戏截屏的方式，将收集到的信息发送到黑客指定的服务器中。黑客再通过收集到的信息，盗取用户的游戏账号，造成用户虚拟财产的损失。
    在此，中国反网络病毒联盟（ANVA）建议大家到官方网站下载输入法，不要轻信所谓绿色软件。此外，要注意安装和升级安全防护软件，实时检测和查杀意图侵入计算机的恶意程序。如发现相关攻击事件，可向中国反网络病毒联盟受理中心举报。

参考信息：
    http://it.rising.com.cn/anti_virus/nextweek/2010-03-26/7141.html（瑞星公告）
    http://bbs.360.cn/4071464/36895293.html（奇虎360公告）

信息提供者：
    奇虎三六零软件（北京）有限公司
    北京瑞星信息技术有限公司

其它信息：

安全报告文档编写：
    中国反网络病毒联盟（ANVA）

-----------------------------------------------------------------------------------
    中国反网络病毒联盟（ANVA）是由中国互联网协会在网络与信息安全工作委员会中发起成立的、由国家互联网应急中心具体组织运作的专门的工作组，致力于通过行业自律机制开展互联网网络病毒的防范和治理工作。

    在发布安全公告信息之前，ANVA都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。

    我们鼓励所有计算机与网络安全研究机构以及各企事业单位和个人用户，向我们报告网络病毒信息甚至提供样本。我们将对所有相关信息进行验证并在CNCERT网站和ANVA网站发布安全公告并指导用户采取措施以避免损失。

    如果您发现本公告存在任何问题，请与我们联系：cncert@cert.org.cn