ノートパソコン dynabook が 
8万円から♪掲示板でウイルスscr配布 オンラインゲームのアカウントハックが危険
Image いらすとや
オンラインゲームの アカウントハック を目的に、ゲームをプレイしてる日本国内のユーザーを狙ったウイルス感染攻撃を確認してます。 
■ 掲示板にウイルスリンク
その攻撃手口は、ネクソン(Nexon) や NCSOFT の公式サイト内の掲示板に不正な投稿が行われるものです。
何かビミョーに変な日本語で 『ゲーム管理者だけが有する武器装備です。』 なるメッセージと、ファイルをダウンロードするリンクが投稿されてます。
ネクソン公式サイトの掲示板に投稿されたウイルスリンク
NCSOFT公式コミュニティに投稿されたウイルスリンク
また、ハンゲーム(Hangame) 内のユーザーページに、やはり同じように変な日本語のメッセージを確認できました。 
ハンゲームのユーザーページに投稿されたウイルスリンク
blog.hangame[.]co.jp/arad198888/article/42352774/
攻撃者はどうもオンラインゲームのユーザーが保有してる正規アカウントに不正アクセスして、この変なメッセージを投稿してる感じ? 
ファイルの正体はスクリーンセーバー
リンクからダウンロードできるのは zip形式やrar形式の圧縮アーカイブ です。
これを展開・解凍すると、中身は Windows 向け実行ファイル(拡張子 .exe)と内部データ的に同じである スクリーンセーバー(拡張子 .scr)でした。
bmp画像と誤認させるアイコン画像の偽装
ファイルの目的が スクリーンセーバー であると明示されてないのに、こんな風に拡張子 .scr のファイルが登場したら、怪しさ100%のマルウェアと判断する以外ありません。 
■ 有効なデジタル署名付き
ちなみに、このスクリーンセーバーのファイルには、ナゾの名義だけど 有効なデジタル署名 が付いてます。 
<あんた誰?
<あんた誰?
デジタル署名「善君 韦」
■ ゲームのパスワード盗む機能?
スクリーンセーバーのファイル内部のバイナリを確認してみると、次のオンラインゲームのアカウント情報を盗み取る処理と思しき文字列は確認できました。
- ハンゲーム 「アラド戦記」
- ネクソン、NCSOFT 「リネージュ」
実行ファイルにオンラインゲーム関連の文字列?
ウイルスファイルのハッシュ値
ウイルス検出名 「Win32/PSW.OnLineGames.QUO」(ESET)、「BKDR_KIROB.A」(Trend Micro)といったところ。
【ウイルス検体】
lineagetwo20120121.bmp.scr
MD5 60631add7d448db305e9ae7a74d73128
www.virustotal.com/ja/file/d6db57241ffe4fb97b5d2e9628b629ee20956793d2c64efa1bdf37076a1d47da/analysis/1421837681/
ARAD20150121.bmp.scr
MD5 f3cb256225c34e5840f3632ecde78f8a
www.virustotal.com/ja/file/662f87646be372af726a589c89a93a415884815b5563e8d3af0ecf34a6c8af8c/analysis/1421846733/
lineage20150121.bmp.scr
MD5 a2b2a97e23f40542040c2b88b839d50e
www.virustotal.com/ja/file/09d95fb2d9bcc5cac8980189e43854a3727aef4858ed6a2f2b05a5dc42caba66/analysis/1426225163/
【C&Cサーバー】
hangame.lineage-jp[.]com
157.7.236.95
