赛门铁克最近分析了一个新的案例，发现一个托管4400万个遭窃游戏账号凭证的服务器，有趣的是此威胁并不只盗用账号，还通过分布在受害计算机上的木马对账号进行激活。赛门铁克将其命名为Trojan.Loginck。

某个特定数据库服务器是这些盗窃的操作中心，针对中国游戏站点，采用了分布式密码检测。失窃的登录凭据不只是来自某个特定的线上游戏，它还包括与用户登录帐户相关的各种线上游戏。然后从其它来源获得在这两种情况下的客户里面的数据库，最有可能的是使用带有窃取信息功能的恶意软件，例如Infostealer.Gampass.病毒。

所以设想一下:你是一个创造或者购买了僵尸网络的坏家伙，把在线游戏网站作为目标，现在拥有4400万个游戏账号任由你支配。

现在是时候把游戏账号转换成现金。但你是怎样找出哪些账号是有效的和哪些值钱呢？我们想到了这三点：

1． 登陆游戏网站4400万次！

2． 编写一个程序用来登录网站和替你查询(这将需花上几个月的时间)。

3． 编写一个程序检查你的登陆信息,然后散布本程式到多台计算机。

选择第一个自然看起来几乎是不可能的事，选择第二种也不太可行。因为网络会封掉这个多次尝试登陆失败之后的典型IP地址。第三种选择是利用分布式处理,你可以更快地完成任务和通过更多的IP地址来传送这个任务来帮助减缓因多次登陆失败的问题。这就是Trojan.Loginck的病毒制造者制造者所做的一切。

大多数僵尸网络有能够下载并运行文件,那么为什么不增加一项定制的恶意软件到每个自动代理程序呢？这些恶意软件可以登陆数据库和下载一些用户名称及密码,以检查他们的有效性。

如果木马成功地在它的任务中登陆，在改为登陆下一个用户和密码之前，它将会随着登录时间更新数据库和任何用户凭证(如当前的游戏等级等等)。袭击者可以登陆数据库和寻找有效的用户名和密码组合。

问题数据库持有将近17GB的平面文件资料。赛门铁克分析了特定的样本试图激活Wayi Entertainment账号，但需要有至少18个游戏网站在数据库作为凭证。

这种形式的数据库是多么的有价值？它们有合法的网站去关注网络用户的买卖交易，然而评价这样的数据库是非常困难的。我们尝试用这些网站上的数据和图表来详述可能的价格范围。最便宜的账号可能包含了一个像“Mediocre Tom”这样的普通名字，所含带的兵器是生锈的老汤匙。相比之下，一个价格昂贵的账号一般包含多个强大的字，如“魔术师：死亡之神”，它非常擅长于“洛基的致命长矛”。注意这些价格只是市场价而不是实际交易价。

(*PlayNC是由Ncsoft提供的一个在线服务游戏，而NCsoft开发了一系列受欢迎的网络游戏，如二天堂、Guildwars、英雄之城。Ncsoft的网络游戏系统是围绕着一个登录帐户共享不同的游戏而设计的。)

值得一提的是，依照EULAs条款，很多网络游戏和主机站点都禁止目前的买卖账户交易允许用户在线售出账号的合法网站，如playerauctions.com，它是尝试保护买卖双方免受使用附带条件契约的欺诈。而我们仅仅使用这些网站来大概估计账号的市场价值，而并没有证据显示这些网站有交易过被盗窃的账号。