由於網際網路的成長發展出一種全新類型的電腦遊戲：玩家能在任何一台電腦上與來自世界各地數千，甚至是數萬名玩家一起進行遊戲。在 MMORPG (大型多人線上角色扮演遊戲；簡稱為線上遊戲) 的世界，玩家能與真實的玩家進行交流、結交朋友、參與作戰、組隊對抗邪惡勢力、掌握自己在虛擬世界的命運，體驗永無止盡的冒險樂趣...

然而，虛擬世界並不像表面上這樣的美好，虛擬的惡行可能成為真實的貪婪行為。真人參與的線上遊戲也包括小偷及詐騙高手，他們靠竊取玩家的虛擬財產來變賣現金。

本文將探討 MMORPG 密碼和虛擬財產的竊盜手法，以及其他惡意行為如何侵擾 MMORPG 玩家。

線上遊戲讓玩家在嘆為觀止的虛擬世界中進行探險，還有能賺取金錢、寶物及經驗值等任務等著您完成，這與傳統的電腦遊戲截然不同。玩家角色所辛苦掙來的血汗錢，可以用來購買遊戲中的虛擬寶物。藉此提升自己的能力以完成更艱難的任務、賺取更多的錢或讓角色能繼續遨遊於遊戲中 - 線上遊戲永遠不會有「Game Over」的一天。

線上遊戲「天堂 2」的一幕戰鬥場景
(www.lineage2)

線上遊戲的規則是由遊戲伺服器的開發者及管理者所決定的。他們花費時間和現金，來建立與支援虛擬世界，而這就是他們賴以維生的工具。

Monica Almeida / The New York Times (紐約時報)
Blizzard 魔獸世界開發者的支援中心
(www.nytimes.com)

線上遊戲軟體可於門市購買或直接從網際網路下載，不過通常需要先支付月費才能正式進入遊戲世界。月費涵蓋流量費用、遊戲伺服器的技術支援、新虛擬世界的建立以及玩家的新物品 (劍、矛、船艦等)。玩家能在這急遽成長及不斷進化的虛擬世界中「生存」好幾年。

私服器

線上遊戲的版圖擴張速度十分驚人：每年都有新遊戲不斷推出且玩家的數量也在持續增加。幾乎新遊戲正式版一推出，便可見到私服器 (惡意伺服器) 出現。玩家不需購買正式版遊戲軟體，便能免費在惡意伺服器中享受遊戲。

魔獸世界於歐洲的銷售量
(www.worldofwarcraft.com)

惡意伺服器的數量十分驚人。舉例來說，我們在 2007 年 6 月 22 日使用「private game server」關鍵字於 Google 搜尋到大約 10,800,000 筆查詢結果，此數量還在持續增加中。一款熱門的線上遊戲能產生無數的惡意伺服器。這麼多筆查詢結果顯示不想多花錢及沒有錢可花的玩家 (如青少年及學生)，對於惡意伺服器有相當高的需求。這個主意非常吸引人：若是在惡意伺服器上也能玩到相同遊戲且只需負擔流量費用，又何必付月費到官方伺服器玩呢？ 然而事實上卻出現極大的變化...

架設惡意伺服器並不是件容易的事。伺服器需要有人管理及支援，其財力支援至少要能負擔流量費用。私服器困擾的原因？ 原因很簡單：惡意伺服器的管理者能出售虛擬寶物賺取現金。根據伺服器的 裝備類型 管理者租約，出售虛擬寶物可獲得優渥的收入。

惡意伺服器上的遊戲品質很差，無法與官方伺服器相比，使得玩家常遇到不少問題。遊戲錯誤、伺服器故障、偶發的斷線問題 - 這會減緩遊戲的速度及破壞遊戲的樂趣。無論玩家技術高明、普通或差勁... 很快就會發現這會讓他們長時間無法順利升級。當他們在惡意伺服器上想尋求協助時，管理者便可趁機出售虛擬寶物賺取現金 (惡意伺服器上的各種寶物及服務，通常會有事先訂好價格的公定價清單)。

儘管遊戲、伺服器狀態 (惡意或官方) 及管理者政策可決定是否允許虛擬寶物現金交易，遊戲伺服器中的交易情形仍隨處可見。

竊盜

只有遊戲伺服器的管理者才能出售虛擬寶物？ 或玩家也能？ 當然能而且大有人在。不過這些「交易關係」通常是受到伺服器管理者禁止，特別是在惡意伺服器上，由於管理者並不能從中獲得利益。然而，禁止動作不一定能有效遏止玩家進行交易。還是會有人賺到虛擬寶物後，便將其轉賣成現金牟利。

線上遊戲世界是個有利可圖的地方。使用者能在某些網站上找到官方遊戲伺服器中遊戲貨幣的實際價格。這些當然都是非法出售 - 幾乎所有的遊戲都會設法阻止虛擬寶物的現金交易行為。

線上遊戲的任何虛擬寶物在真實世界都有其對應的價格。這就是需求出現及虛擬財產遭竊的根本原因。不過他們要如何竊取呢？ 只要擁有適當的技術及知識，其實就能輕易做到 。

大多數線上遊戲的玩家授權系統 (用來驗證玩家的真實身分) 都是以密碼系統為基礎。玩家必須輸入使用者名稱及密碼才能登入伺服器。伺服器辨識出使用者後，玩家即可進入遊戲世界盡情遨遊。惡意使用者只要獲得某人的密碼，便能輕鬆竊取帳號中的物品轉賣現金。

竊取的物品可放到網站上拍賣 (如 ebay.com 及論壇)，轉賣成虛擬貨幣或現金。網路罪犯也可以拿竊取的物品向被害者索取贖金。情況似乎不太妙，惡意使用者真的能從線上遊戲中撈進大把錢財。

在 Ebay 上出售遊戲角色

購買遭竊的物品根據伺服器的規定理當受罰。官方遊戲伺服器上的玩家明白一旦發生意外，管理者將採取對玩家有利的行動。玩家可隨時提出請求或抱怨，管理者會以最快的速度解決問題，讓玩家能順利進行遊戲。

然而，數量遠超過官方伺服器的惡意伺服器，則是完全不同的情形。由於玩家並未支付技術支援費用，管理者也無須處理問題。當遊戲物品發生糾紛，受害者幾乎沒有機會能證明自己的清白。即使握有密碼遭竊的證據，通常也無濟於事；管理者能以對話可以做假、擷取畫面可以修改等來做辯解。偽造的證據可以用來指控清白的玩家，如令你困擾的對手，好讓他 / 她自遊戲中消失 (例如：遊戲中使用不適當言語，最嚴重可讓玩家受到數天無法登入遊戲的處分)。透過偽造遭竊的物品向受害者索取贖金，一樣能賺取金錢。惡意伺服器的管理者無法也不想處理這類的糾紛。

由於在大多數情況管理者不會採取補救措施，因此在惡意伺服器上的惡意使用者也無須擔心管理者的行動。官方伺服器上的情形要比惡意伺服器好很多。若玩家捲入竊盜糾紛，其帳號被會被關閉且 IP 位址也會遭到阻擋。　

整體而言，竊取線上遊戲密碼是值得我們關注的問題。惡意使用者的下一個目標是誰，沒有人能知道。

遊戲論壇中的一則訊息 (及一些適當的 Google Ad)

線上遊戲密碼的竊取方式

惡意使用者通常只對受害者的使用者名稱及密碼感興趣，不會在意他們是在哪個伺服器上。惡意使用者知道受害者選擇的伺服器後，很有可能到同樣伺服器上進行遊戲。這就是他們在惡意或官方伺服器上竊取金錢的方式，而在惡意伺服器上玩家物品遭竊的情形則更為常見。

下面列舉一些網路罪犯竊取密碼的方式。

社交工程

網路罪犯會進入遊戲或遊戲伺服器的論壇，藉由提供獎勵或遊戲中的幫助以換取其他玩家的密碼。會提供這種優惠的網路罪犯，其動機並不如表面上的單純。想尋求捷徑使遊戲更輕鬆而回應優惠的玩家，才是最天真的人。惡意使用者一旦達到目的 (竊取密碼)，帳號中所有的東西將被搜括一空。

另一個著名的社交工程方式是利用網路釣魚，網路罪犯會假冒伺服器管理者發送網路釣魚電子郵件，請求玩家從郵件中的網路連結驗證自己的帳號。以下為此技倆的範例。

網路釣魚電子郵件的範例：
請按此連結前往網路釣魚網頁 http://lineage***.ru
(forum.lineage2.su)

翻譯過的訊息如下：

網路釣魚攻擊玩家帳號的新聞
(eu.plaync.com)

雖然這種騙取密碼的技巧既簡單又有效，卻無法為惡意使用者帶來豐厚的利潤，也就是說這無法讓「有錢的」玩家上鉤。

利用遊戲伺服器的弱點

遊戲伺服器為系統服務、程式及資料庫的集合，針對支援遊戲設定而設計。就如同其他軟體，伺服器程式碼包含程式設計錯誤及撰寫錯誤。網路罪犯可利用潛在的弱點存取伺服器資料庫，並竊取玩家密碼或密碼雜湊 (屬於一種加密的密碼，可使用專門的程式解碼)。

舉例來說，有一個關於遊戲玩家聊天室的已知弱點。如果聊天室環境物未與遊戲資料庫隔離，以及特殊符號 / 指令未經檢查，惡意使用者便可手動或使用專門的公用程式，透過玩家聊天室直接存取玩家資料庫。

「天堂 2」遊戲聊天室
(www.lineage2.com)

惡意使用者可利用弱點存取內部伺服器資料庫，其數量取決於伺服器。針對惡意伺服器中的弱點建立特定的修補程式，比起官方伺服器更為耗時 (當然，若惡意伺服器管理者認為修補弱點是必要的話)。

另一種竊取密碼的方式是利用一種機制，它能提醒忘記密碼的使用者。網路罪犯會向系統發送特殊設計的要求 (或只使用暴力攻擊方式，瀏覽安全性問題的可能答案)，然後在受害者不知情的情況下，變更其密碼並使用新密碼登入遊戲。

利用伺服器弱點的方式很複雜且需要事先準備，而策劃攻擊也需花費一番心思才能達成。由於多數駭客的技術尚未到達能成功攻擊的境界，常常變成是浪費時間、毫無所獲。

使用惡意軟體

惡意使用者常常建立惡意軟體，然後使用各種方法將其散佈出去：

• 網路釣魚連結惡意程式，然而在玩家訊息看板上卻號稱是遊戲修補程式；
• 發送內含惡意程式連結的遊戲垃圾郵件，標題寫著「新修補程式」；
• 發送附有惡意程式或惡意程式連結的電子郵件；
• 透過檔案共用網路散佈惡意程式；
• 趁使用者造訪遊戲相關網站時，利用瀏覽器弱點下載惡意程式。

網路罪犯大多只能在遊戲中或在訊息看板，以好用的新修補程式 / 公用程式 / 附加程式及它能讓遊戲更輕鬆的噱頭，發佈惡意程式的連結。

惡意伺服器的新聞

翻譯過的訊息如下：

有些惡意程式只會攻擊線上遊戲玩家，就如同用來竊取密碼的惡意軟體一樣 (包括線上遊戲的密碼)。根據卡巴斯基實驗室的分類，最常用來竊取線上遊戲帳號的程式以 Trojan-PSW.Win32 為典型，以及 Trojan.Win32.Qhost 家族的變種。

第一類的特洛伊木馬程式使用傳統的方式透過鍵盤收集資料；玩家於受感染電腦中透過鍵盤輸入密碼後，惡意使用者便能存取伺服器的名稱及其他資訊。

第二類的特洛伊木馬程式則是透過修改 %windir%system32driversetchosts 的方式運作。此檔案包含網路位址及伺服器名稱之間靜態通信 (static correspondence) 的相關資訊。如果錯誤遊戲伺服器被植入此檔案，則遊戲用戶端將會獲得惡意使用者伺服器 (將會收到密碼) 的授權，而不是真實伺服器的授權。

某些 Trojan-Spy.Win32.Delf 的變種也值得我們的注意。此家族會在 Internet Explorer 中設定錯誤的 proxy 伺服器，然後用以連接到線上遊戲伺服器中 (這種情況與上述的主機檔案一樣，所有使用者的登入資料將會發送到惡意使用者手中。)。針對不需要輸入密碼的線上遊戲 (為一種周密的措施，可保護使用者免於鍵盤側錄程式記錄資訊)，密碼會以遊戲設定擷取畫面的形式發送給惡意程式使用者，而非以信件或符號的形式。

有些 Trojan-PSW.Win32 變種會攔截某些網站上的網頁表單。網頁表單也同樣能用於收集線上遊戲的使用者密碼。許多遊戲伺服器允許透過伺服器的網頁介面，在玩家輸入使用者名稱及密碼後，存取有關遊戲的統計資料或其他資訊。此變種會在資料傳送過程中攔截這些資料。

竊取到的密碼會透過電子郵件、即時訊息、藉由在 FTP 伺服器放置密碼；或透過網際網路、FTP 或共享資料夾讓網路存取內含密碼的檔案或資料夾，傳送給惡意使用者。

遭惡意程式竊取密碼玩家的訊息

由於使用惡意程式竊取密碼的方式既簡單 (惡意程式使用者不需要任何的技術)，獲利又豐厚，與其他竊取密碼的技術相比，惡意使用者更常使用此方式。

密碼竊取惡意軟體的進化

物競天擇是隱藏於進化背後的驅動力。防毒程式為電腦安全防護的第一線，在惡意程式的進化過程中 (用來盜取線上遊戲密碼)，扮演著舉足輕重的角色。安全防禦愈強，便愈難以閃躲；然而，惡意軟體也愈來愈複雜。

最初針對線上遊戲設計的惡意程式是最簡單的，不過他們現在使用最新式的惡意軟體寫入技術。其進化過程分為三部份：竊取密碼功能的進化，也能夠傳送資料給惡意使用者 (Trojan-PSW 程式、Trojan-Spy 程式)；蔓延技術的進化 (蠕蟲及病毒)；惡意軟體對抗防毒程式之自我防護技術的進化 (隱藏程序、KillAV 及加殼程式)

特洛伊木馬程式

首次發現以惡意程式偷竊線上遊戲使用者密碼的記錄是在 1997 年，那時防毒公司開始接到 「網路創世紀」玩家寄來請公司分析，含有惡意軟體的電子郵件。起初這些程式為典型的鍵盤記錄程式。鍵盤記錄程式係指不會直接連線至線上遊戲的特洛伊木馬程式，該種程式會記錄使用者所有的按鍵輸入 (包括線上遊戲的密碼在內)。

第一種針對 MMORPG 密碼的惡意程式為 Trojan-PSW.Win32.Lmir.a，出現在 2002 年末。這是以 Delphi 編寫的簡單程式。在預先設定的時間間隔內，該程式會搜尋標題為「傳奇 2」的視窗，然後將所有在該視窗中輸入的資料傳送至惡意使用者的電子郵件。此惡意程式是由中國人研發，就程式設計而言這並非獨創，程式也似乎不太可能會廣為散佈。意外的是，此一簡單且不受注目的特洛伊木馬程式很快就成為 MMORPG 密碼竊盜者的常用程式。此特洛伊木馬程式的原始碼在網際網路上散佈，然後有人針對其他線上遊戲進行修改 — 這並非難事。受攻擊遊戲的名稱改變後 (例如改為「楓之谷」)，特洛伊木馬程式就能竊取該遊戲的密碼。此種簡單的修改行為迅速引發了 MMORPG 惡意軟體的巨量增長及四處傳播。

Trojan-PSW.Win32.Lmir 及大量變種的散佈可歸咎於幾個因素：

1. Trojan-PSW.Win32.Lmir 之原始目標，「傳奇」的遊戲人口；
2. 此遊戲專屬的大量伺服器；
3. Internet Explorer 的弱點可用來散佈特洛伊木馬程式 — 惡意使用者駭進遊戲伺服器網站，然後加入能在玩家電腦上下載及啟動特洛伊木馬程式的指令碼；
4. 超過 30 種 Trojan-PSW.Win32.Lmir 建構式的出現 (Constructor.Win32.Lmir — 用來建立及設定特洛伊木馬程式的專門軟體，用於偷竊「 傳奇 2」的密碼)。

Trojan-PSW.Win32.Lmir 經證實有效後，惡意使用者便針對其他熱門線上遊戲，開始重新編寫程式。此程式的後繼者包括 Trojan-PSW.Win32.Nilage (針對「天堂 2」) 及 Trojan-PSW.Win32.WOW.a (攻擊「魔獸世界」玩家)。以上程式分別出現在 2004 年及 2005 年，此外由於遊戲受歡迎度持續提高，因此仍然是惡意使用者之間最熱門的程式。大部分此類的特洛伊木馬程式是為在 .tw 網域上，竊取線上遊戲使用者名稱及密碼而設計，之後會將竊得的資料傳輸至位於 .cn 網域的電子郵件或 FTP 伺服器。

大多數的特洛伊木馬程式皆為針對特定線上遊戲而設計。然而出現在 2006 年的 Trojan-PSW.Win32.OnLineGames.a 開始竊取幾乎所有熱門線上遊戲的密碼 (想當然是從受害者已經註冊的伺服器位址)。此特洛伊木馬程式的目標遊戲清單仍在增加中。

Trojan-PSW.Win32.OnLineGames.fs 的片段，
專門用於偷竊「楓之谷」的密碼

用於偷竊線上遊戲密碼的現代特洛伊木馬程式，通常會是以 Delphi 編寫的動態程式庫，能夠自動連結所有在系統內啟動的應用程式。當木馬程式偵測到線上遊戲啟動時，該種惡意程式便會攔截經由鍵盤輸入的密碼，將資料傳送至惡意使用者的電子郵件，然後刪除自己。使用動態程式庫讓特洛伊木馬程式得以掩飾該程式在系統中的存在，也能夠使用 Trojan-Dropper、蠕蟲或其他惡意軟體，簡化在受害者電腦安裝特洛伊木馬程式的程序。

蠕蟲和病毒

由於線上遊戲在世界各地大受歡迎，因此在一般網路使用者中找出玩家並非難事。隨著用於竊取線上遊戲密碼之惡意軟體的發展，這也就是自我複製成為重要因素的原因。這些程式的設計會以不同遊戲及伺服器為目標，盡可能向許多不同玩家下手。

第一種用來竊取線上遊戲密碼的蠕蟲為 Email-Worm.Win32.Lewor.a。此蠕蟲會將自己傳送至由受感染電腦之 Outlook Express 通訊錄取得的地址。如果該蠕蟲在受感染的電腦上發現「傳奇」的使用者名稱、 密碼及伺服器位址，該蠕蟲會將資料儲存至屬於惡意使用者的 FTP 伺服器。Email-Worm-Win32.Lewor.a 的大量郵件發送版本首次出現在 2004 年六月初。

用於偷竊線上遊戲密碼之惡意程式的寫作者開始將自我複製功能加入其作品中。該惡意軟體的設計會以名為「autorun.inf」的額外檔案，將自己複製到抽取式磁碟。如此將會在受感染磁碟連接至電腦時啟動惡意軟體 (雖然感染只會在電腦設定允許此類自動執行功能時發生)。如果使用者連接快閃磁碟與受感染的電腦，則惡意程式會自動將自己複製到快閃磁碟中，然後當受感染的快閃磁碟連接至其他電腦時，惡意程式碼就會自動啟動，其後也會感染其他抽取式磁碟。(受害者包括影印中心的客戶，他們會使用快閃磁碟，將想要列印的資料帶去影印中心)。

不久之後，其他種類的惡意程式會開始現身，能夠感染可執行檔，並且將自己複製到網路資源。此種感染常式讓病毒寫作者有再一次的機會能夠散佈作品，並且帶給防毒公司必須解決的問題。當惡意程式能夠將自己複製到多數使用者存取的資料夾 (例如透過 P2P 或 Microsoft Networks 共用資料夾)，可能受害者的數量就會大幅增加。

此種惡意程式的其中一個範例被卡巴斯基實驗室歸類為 Worm.Win32.Viking。身為 Viking 的後繼者，Worm.Win32.Fujack 是線上遊戲惡意程式大量散佈的另一階段演化。

目前為止，線上遊戲病毒寫作者的最新成就為多型化 Virus.Win32.Alman.a 及其後繼者 Virus.Win32.Hala.a。除了感染可執行檔外，這些惡意程式尚且具有蠕蟲功能 (能夠透過網路資源蔓延)、隱藏程序功能 (能夠掩飾自己在系統中的存在) 及後門功能。受感染的電腦會連結指定的伺服器，獲得惡意使用者的命令。此種命令可能會含有下載及啟動程式的命令，卡巴斯基實驗室將其歸類為 Trojan-PSW.Win32.OnLineGames。

受到 Virus.Win32.Alman.a 感染的檔案片段

Alman.a 及 Hala.a 皆含有不應感染的可執行檔清單。除了屬於其他惡意程式的檔案之外，清單還包括屬於線上遊戲用戶端的檔案。為什麼呢？

這是保護的機制，線上遊戲本身及防毒解決方案皆能避免啟動經過修改的執行檔。惡意使用者已經考慮到這點，他們不希望玩家沒辦法在受感染的電腦上玩遊戲。總而言之，感染 Trojan-PSW.Win32.OnLineGames 的受害者電腦能讓網路罪犯取得遊戲玩家的密碼。

惡意軟體針對線上遊戲加強自我防護技術

不斷嘗試超越防毒公司的病毒寫作者採用自我防護技術，讓其作品能夠勝過防毒軟體。

第一步為使用加殼程式，這一步是為了隱藏程式碼不受病毒碼掃瞄。使用加殼程式可保護程式碼免於遭到反組譯，讓惡意程式更難以分析。

下一步則是採用終結者病毒技術，可讓惡意軟體停用電腦的安全解決方案，或是讓防毒程式看不到自己。

惡意軟體針對線上遊戲自我防護的最新進展則是隱藏程序技術。此類技術可以隱藏惡意程式的操作，讓防毒軟體及所有系統處理程序皆無法察覺。

今日的 MMORPG 惡意軟體通常會結合以上三種技術。

舉例而言，「天堂 2」在亞洲特別受到歡迎，而「魔獸世界」則是在美洲及歐洲較受人歡迎。針對以上遊戲的特洛伊木馬程式，如 Trojan-PSW.Win32.Nilage (竊取《天堂 II》的密碼) 及 Trojan-PSW.Win32.WOW (針對《魔獸世界》)，明顯地在不同方面上出現進化。前者使用加殼程式使其難以在掃瞄病毒碼時察覺，讓程式得以掩飾其在系統中的存在，並且躲過防毒掃瞄的偵測。後者則是停用受害者電腦的安全功能，直接對抗防毒程式。

現今的惡意攻擊模式

用於竊取線上遊戲密碼之惡意軟體，在進化的程度上遠落後於其他惡意程式。原因可能是在於線上遊戲的興起尚晚，以及針對線上遊戲的惡意程式本身。長久以來，此種惡意程式十分簡單，而且僅採用 Delphi 編寫，因此防毒程式能輕易偵測並將其刪除。但是在過去兩年以來，為了破解防毒解決方案提供的保護，將目標對準線上遊戲的惡意程式寫作者採用了新的策略。在今日，攻擊電腦玩家的方式是以建立具有多重功能的蠕蟲進行：能夠自我複製 (電子郵件蠕蟲、P2P 蠕蟲、網路蠕蟲)，感染執行檔 (病毒)、掩飾自己在系統中的存在 (隱藏程序) 以及竊取密碼 (PSW 特洛伊木馬程式)。

針對線上遊戲玩家之惡意軟體的元件

在典型的攻擊中，具有多重功能的蠕蟲會大量寄送。此類垃圾郵件的收件者只要一個不小心 (按一下郵件內的連結、開啟不明檔案等等)，電腦的所有執行檔就會遭到感染，蠕蟲會將自己寄送到使用者通訊錄的所有地址，此外惡意程式碼會出現在其所能夠存取的所有網路資源中。只是受害者完全不會有感覺，因為隱藏程序技術會掩飾其在系統中的存在。

有趣的是，在幾近全數的此類攻擊中，失竊的密碼全部都會傳送至位於 .cn 網域的電子郵件地址或 FTP 伺服器。

地理上的考量

說到線上遊戲密碼竊盜時，就不能不來談談「亞洲風」。數據顯示此區的玩家佔有線上遊戲玩家的極大數量。線上遊戲密碼竊盜主要是與中國及南韓有關。原因還不是完全清楚，不過數據會說話：針對線上遊戲的特洛伊木馬程式，有超過 90% 是中國人寫的，而被特洛伊木馬程式竊取的密碼中，有 90% 是屬於南韓網站的玩家。

針對線上遊戲的新型特洛伊木馬程式在其他國家十分少見，而且修改的次數總是不會超過 2 或 3 次。

俄國的電腦化及 IT 快速成長自然會對電腦娛樂的發展有所影響。俄國遊戲產業的常見特色為 BBMMORPG (瀏覽器式大型多人線上角色扮演遊戲) 的受歡迎程度。在這些遊戲中，最受歡迎的是 2002 年的《Fight Club》(Combats.ru)，不需要獨立的遊戲用戶端：所有操作皆能透過瀏覽器完成。

熱門遊戲《Fight Club》的螢幕擷取畫面
(www.mjournal.ru)

此類遊戲的大量充斥，以及玩家的巨大數量，自然會吸引俄國網路罪犯的注意。俄國式攻擊主要是利用網路釣魚散佈惡意程式。網際網路上開始出現無數《Fight Club》及其他遊戲的複製網站，網路釣魚電子郵件內也出現這些網站的連結。

在攻擊中，據稱是網站管理員寄送的電子郵件，通知收件者遊戲伺服器的位址改變。當玩家試著輸入新的位址時，他們會收到錯誤訊息。安裝在假網站上的傀儡蟲會自動變更玩家在遊戲原本伺服器上輸入的密碼。到頭來，使用者會無法使用舊密碼進入遊戲，而竊賊現在擁有「合法的」新密碼，讓竊賊能夠自由進出遊戲，並且讓竊賊能夠取得他人的虛擬財產。

網路釣魚電子郵件及網站本身被卡巴斯基實驗室歸類為 Trojan-Spy.HTML.Fraud 及 Trojan-Spy.HTML.Combats。這似乎是俄國網路罪犯犯罪之途的終點。不過當然還有新惡意程式的其他範例，只是沒道理去相信在俄國會有針對線上遊戲玩家的大規模攻擊。攻擊被限制在網路釣魚，而舊型鍵盤記錄程式的使用並非專門針對線上遊戲。

統計資料

與俄國相反，世界的其他地方正在面臨惡意程式及已知惡意程式新改款 (皆針對線上遊戲) 的大量增加。卡巴斯基實驗室目前每天都會收到超過 40 種針對熱門線上遊戲密碼下手的惡意程式。此外，因為防毒公司的反應及線上遊戲受歡迎程度的提高，所以樣本的品質與數量正在持續升高。大部分此類程式皆是針對特定遊戲伺服器進行編碼。

對線上遊戲密碼虎視眈眈的
惡意程式總數

在 2002 年，送給卡巴斯基實驗室的 MMORPG 惡意軟體樣本中，有將近 99% 是歸類為 Trojan-PSW.Win32.Lmir。不久之後，由於新遊戲興起及更受歡迎的緣故，針對《傳奇》的惡意程式數量便大幅減少。現在最熱門的 MMORPG 目標為「天堂 2」(在所有線上遊戲的特洛伊木馬程式中，有超過 40% 是針對《天堂 2》)，《魔獸世界》(20%)，《遊戲橘子》、《Tibia》及《傳奇》(各佔約 6%)。這些間接反映出個別線上遊戲的受歡迎程度，惡意使用者即是針對此設計密碼竊取程式。

下表顯示 2006 年最熱門線上遊戲之新惡意軟體的統計資料：天堂 2 及魔獸世界。

針對《天堂 2》及《魔獸世界》
密碼下手的惡意程式，2006 年

自 2004 年起，以上線上遊戲的世界就已開放供玩家遊樂。但隨著線上遊戲越受歡迎，對網路罪犯的吸引力也就越高。在 2006 年，《天堂 2》及《魔獸世界》特洛伊木馬程式的每月數量竄升，到年底則佔有所有針對線上遊戲之惡意程式的 70%。

總結

線上遊戲的數量不斷增長，而玩家的數量也隨著新人加入定期成長。幾乎所有 MMORPG 都有為竊取其使用者帳號密碼而設計的惡意程式。如果某個線上遊戲沒有相對的惡意程式，這只是代表玩家還沒準備好要為虛擬財產付出實際的金錢。

線上遊戲之惡意程式數量的顯著增長無法只藉由虛擬寶物的貿易經濟來解釋。這是有利可圖的生意，而且竊取密碼不會有任何現實上的懲罰。絕大多數的授權協議規定遊戲的所有元件皆為開發者所有。玩家只能使用提供的服務，包括帳號密碼在內。也就是說，玩家只能就失竊的密碼向管理員投訴，不能向執法機關報案。

從法律的觀點來看，如果玩家的虛擬財產遭竊，盜竊行為並非犯罪，而除了散佈惡意程式或從事詐欺行為以外，無法向惡意使用者究責。

網路罪犯持續把目標放在線上遊戲的玩家身上。

遊戲開發者導入新的授權及驗證機制、密碼通訊協定、為遊戲客戶端提供各類修補檔、甚至變更遊戲的項目選擇，試著要保護使用者不受惡意使用者的行為侵害。

防毒公司亦不定期及定期更新惡意軟體資料庫，試著避免線上遊戲密碼的盜竊。針對線上遊戲用戶端的惡意程式，防毒公司也持續在軟體中增加新的探索及行為偵測模式。

也有其他能夠有效保護線上遊戲玩家的方法：遊戲開發者與防毒公司主動合作。在 2004 年，卡巴斯基實驗室與俄國線上遊戲《Fight Club》的開發廠商簽署了一份協議。協議聲明由管理員或玩家發現的可疑程式碼將會傳送至卡巴斯基實驗室分析，藉此進行識別及保護玩家不受侵害。結果這是極具成效的協議。竊取上千名使用者密碼的嘗試遭到挫敗。如果惡意使用者進行的攻擊成功的話，則他們能夠「賺得」的 (實際) 金額至少數以萬計。

我們能夠提供玩家什麼樣的建議，讓玩家的密碼不致失竊？ 一如往常，採取基本的預防措施，運用常識，不要被人牽著鼻子走，最後也是最重要的一點，請使用市面上最佳的防毒軟體。

在這個爆發的高峰期間， Warezov.nf 使得所有惡意程式的總量增加了將近 10% 。這也意味著幾乎每十封病毒郵件中就有一封是這個新變種的蠕蟲。然而在 4月19日的晚間，Warezov.nf 的總數也開始明顯的下降。

在 19日的早上，收到第一個樣本之後的大約半小時之後，包含能夠偵測和解毒的卡巴斯基防毒資料庫已經緊急的釋出更新。卡巴斯基防毒 6.0 以及卡巴斯基網路安全套裝 6.0 的使用者將能夠在尚未更新之前便可以利用免疫防護功能直接攔截。建議所有的使用者都能夠保持最新的防毒資料庫，並且不要開啟任何來自陌生人士的電子郵件。

這個蠕蟲本身是一個 Windows PE EXE 檔案，利用 UPX 進行封裝。封裝之後的檔案大小可能由 20KB 到 135KB 都有。

執行這個蠕蟲之後，將會在螢幕上顯示以下的畫面 :

接著這個蠕蟲將會複製其本身成為 Windows 系統資料夾中的可執行檔 "hotpmsta.exe”:

%System%hotpmsta.exe

並且建立以下的檔案:

這個蠕蟲也會建立以下的系統登錄資料:

這個蠕蟲將會利用自身的 SMTP 引擎來寄送病毒信件

圖中為病毒信件範例:

這個附件中包含一個元件能夠透過網路由以下的連結下載其他的惡意程式。

http://linktunhdesa.com/***32.exe

而最新的蠕蟲執行檔將會被放置在這個連結中。

下載下來的檔案將會以隨機變化的名稱存放在 Windows 的暫存資料夾下進行執行。

卡巴斯基已經將偵測此蠕蟲的特徵碼緊急更新到卡巴斯基防毒資料庫中。

如果您使用的是卡巴斯基防毒 6.0，啟用免疫防護之後將可以在尚未更新防毒資料庫之前直接攔截此病毒。

如果您的電腦並未安裝最新的防毒軟體，或者根本沒安裝防毒軟體，以下的方法將可以刪除此惡意程式 :

1. 利用工作管理員來終止這個蠕蟲的原始程序。
2. 刪除這個蠕蟲的原生檔案 。
3. 手動刪除以下存在於 Windows 系統資料夾中的檔案:
   %System%hotpmsta.exe
   %System%hotpmsta.dll
   %System%hotpmsta.dat
4. 刪除以下的系統登錄資料:

   [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyhotpmsta]

5. 刪除郵件資料夾中所有的病毒信件。
6. 更新您的防毒資料庫並執行全機掃瞄 (下載 卡巴斯基試用版 ).

卡巴斯基實驗室已經在全球電子郵件流量中觀測到大量的 Worm.Win32.Zhelatin 病毒家族在流傳。

如果您使用的是卡巴斯基 6.0 的防毒軟體 能夠在沒有病毒特徵碼尚未加入防毒資料庫之前便能夠以免疫防護技術攔截這些病毒的變種。