發展
經常看到有用戶說,在輸入自己帳号與密碼後提示密碼錯誤,那麼八九不離十就是中了盜号木馬了,其實這種木馬是最早期的盜号木馬程序。05年後已經很少有編木馬程序的程序員,還按照這種監聽鍵盤記錄的思路去編寫木馬程序。更高級的盜号木馬程序已經發展到通過内存提取數據來獲得用戶的帳号和密碼。
不管任何一款程序,它都是有他所特有的數據的(包括用戶的帳号、密碼,等級裝備資料等等)。這些數據都是會通過本機與遊戲服務器取得了驗證以後,用戶的角色資料才會出現在用戶的面前。而這些數據在運行的時候都是存放在計算機的内存裡面的。木馬作者隻需要在自己的程序裡面加入條件語句就可以取得用戶真實的遊戲帳号、密碼、角色等級等等。這種編程語句的大概意思應該是:當遊戲進程進入到讓用戶選擇角色的時候再從内存中提取最後一次的帳号、密碼、角色等級等資料。
入侵方式
1、有很多圖片木馬,EML和EXE木馬,其中的圖片木馬其實很簡單,就是把木馬exe文件的文件頭換成bmp文件的文件頭,然後欺騙IE浏覽器自動打開該文件,然後利用網頁裡的一段JAVAscript小程序調用DEBUG把臨時文件裡的bmp文件還原成木馬exe文件并拷貝到啟動項裡。接下來的事情很簡單,下次啟動電腦的時候就是噩夢的開始了,EML木馬更是傳播方便,把木馬文件僞裝成audio/x-wav聲音文件,這樣接收到這封郵件的時候隻要浏覽一下,不需要點任何連接,windows就會代勞自動播放這個他認為是wav的音樂文件,木馬就這樣輕松的進入電腦。
2、把木馬exe編譯到.JS文件裡,然後在網頁裡調用,同樣也可以無聲無息的入侵電腦,這隻是些簡單的辦法,還有遠程控制和共享等等漏洞可以鑽。
3、通過QQ,例如想盜遊戲中指定人物的帳号,首先和他聊2句知道他QQ多少,然後通過QQ傳送木馬給他!QQ可分為:直接傳送文件,網絡硬盤共享,網頁木馬
4、通過郵件,把木馬做為郵件的附件發送出去!收信人隻要打開附件系統就會感染木馬!
5、捆綁法,把木馬和正常的程序捆綁在一起,在有人運行表面正常程序的同時,木馬也就運行了.....這個捆綁的程序可以是:圖片,電影,音樂,遊戲外挂等等等
6、把木馬在網吧電腦上雙擊下後,即可!對于網吧的還原精靈,在輔助工具一欄有還原精靈轉存軟件可破解此限制!
7、木馬和QQ尾巴這樣的病毒綁定在一起,這樣傳播速度非常快的!
8、最強的木馬傳播方法:網頁木馬!有人如果點了挂有木馬的網址就會自動從服務器上加載木馬!一般的下載速度是50K/秒,而木馬卻隻有16K的大小,也就是說隻要有人點下網址就瞬間中下木馬!
十大種類
金山毒霸全球反病毒監測中心公布2007年上半年十大網絡遊戲盜号木馬:
魔獸大盜
“魔獸大盜”變種QZZ(Win32.PSWTroj.wow.qzz)
該病毒是“魔獸大盜”的惡意改造版,它跟之前的惡意行為相似,會潛伏在電腦系統裡,伺機注入到網絡遊戲“魔獸世界”進程中,盜取用戶的遊戲帳号,密碼和裝備等有效信息,并将其發送給木馬種植者。造成用戶的虛拟财産的損失。
該病毒運行後,會釋放isignup.dll等病毒文件,修改注冊表,實現随開機自動啟動。此外,它還具備自删除的功能。
征途大盜
“征途大盜”變種SA(Win32.Troj.PSWZhengtu. sa)
該病毒的惡意行為跟之前“征途大盜”相似,都是針對網絡遊戲“征途”而來的,它會潛伏在受感染電腦的系統裡,伺機注入到遊戲“征途”的進程裡,截取用戶的QQ帳号和密碼信息,将竊取的有效信息發送給木馬種植者,造成用戶網絡虛拟财産的損失。
該病毒運行後,會釋放npkcrypt.vxd和ztconfig.ini等多個病毒文件,添加一個名字為LoginService的病毒服務,查找“征途”的客戶端窗口zhengtu_client,将竊取的帳号信息和密碼并發送出去。
傳奇大盜
“傳奇大盜”變種WXX(Win32.Troj.PSWLmir.wxx)
該病毒是“傳奇大盜”的惡意改造版,跟之前的版本的惡意行為相似,它會潛伏在電腦系統裡,伺機獲取網絡遊戲的用戶登錄窗口,并記錄用戶的鍵盤和鼠标的操作,将竊取的信息發送給木馬種植者,造成用戶的虛拟财産的損失。
該病毒運行後,會釋放一個ptool32.exe病毒文件,修改注冊表,實現随開機自動啟動。關閉KVXP_Monitor和木馬防火牆等多個安全軟件的殺毒窗口。
西遊大盜
“西遊大盜” (Win32.PSWTroj.OnlineGames)
該病毒是跟一般的盜号木馬行為相似,它會潛伏在受感染電腦中,伺機注入到網絡遊戲“大話西遊”的遊
戲進程,創建信息勾子獲取遊戲帳号和密碼,并将竊取的信息發送給木馬種植者。造成用戶的虛拟财産的損失。
該病毒運行後,會釋放dh2103.dll病毒文件,修改注冊表,實現随開機自動啟動。自動查找WSWINDOW窗口,盜取有效信息,并将其發到惡意站點h**p://wangz*****ta.dprktimes.c om/kaole/lin.asp。
誅仙竊賊
“誅仙竊賊”(Win32.PSWTroj.OnlineGames.139264)
該病毒是一個網絡遊戲的盜号賊,它跟一般盜号木馬相似,它會伺機注入到網絡遊戲“誅仙”進程裡,通過讀取進程内存的方式,獲取遊戲帳号和密碼,并将其發送給木馬種植者,造成用戶的虛拟财産的損失。
該病毒運行後,會釋放kulionzx.exe和kulionzx.dll病毒文件,修改注冊表,實現随開機自動啟動,盜取有效信息,并将其發送到hxxp://www.jb***.com/***yszx/sendmail.asp。
完美世界竊賊
“完美世界竊賊”變種LC(Win32.PSWTroj.XYOnline. lc)
該病毒會僞裝成受感染電腦中的系統進程,監視網絡遊戲“完美世界”的遊戲進程,創建信息勾子,盜取遊戲的帳号和密碼、金錢等有效信息,并将其發送給木馬種植者。造成用戶的虛拟财産的損失。
該病毒運行後,會将自身複制到winlog0n.exe系統進程裡,修改注冊表,實現随開機自動啟動。搜尋并獲取完美世界的ElementClient.exe遊戲進程,達到盜号的目的。
天龍神偷
“天龍神偷”變種E(Win32.PSWTroj.TLOnline.e)
該病毒是一個新的網絡遊戲盜号賊,它跟一般盜号木馬的惡意行為相似,會潛伏在電腦系統裡,監視網絡遊戲“天龍八部”的用戶登錄窗口,記錄遊戲帳号和密碼等有效信息,并将竊取的信息發送給木馬種植者,造成用戶的虛拟财産的損失。
該病毒運行後,會釋放多個病毒文件,修改注冊表,竊取遊戲帳号和密碼,并将其發送到h**p://www.z*****.cn/tianlong/postly.asp等多個站點。
夢幻西遊大盜
“夢幻西遊大盜”變種IU(Win32.Troj.XiYou.iu)
該病毒跟一般盜号木馬病毒的惡意行為相似,它會伺機注入到網絡遊戲“夢幻西遊”的遊戲進程裡,同時創建信息鈎子,獲取用戶的帳号和密碼等有效信息,并将竊取的信息發送到木馬種植者指定的惡意站點,造成用戶的虛拟财産的損失。
該病毒運行後,會釋放nmhxy.exe和nmhxy.dll兩個病毒文件,搜尋并注入該遊戲進程my.exe,獲取相關的有效信息,然後,将信息發送到惡意站點。
如何檢查
點開始-運行,輸入:msconfig回車就會打開系統配置實用程序,先點system.ini,看看shell=文件名,正确的文件名應該是explorer.exe。
如果explorer.exe後邊還跟有别的程序的話,就要好好檢查這個程序了,然後點win.ini“run=”和“load=”是可能加載“木馬”程序的途徑。一般情況下,它們的等号後面什麼都沒有,如果發現後面跟有路徑與文件名不是熟悉的啟動文件,計算機就可能中上“木馬”了。當然這也得看清楚,因為如“AOL木馬”,它把自身僞裝成command.exe文件,如果不注意可能不會發現它不是真正的系統啟動文件。
最後點“啟動”,檢查裡面的啟動項是不是有不熟悉的,如果實在不清楚的話可以把他們全部取消,然後重新運行msconfig,看一下有沒有取消的啟動項重新被選中的,一般木馬都會存在于内存中,(就是線程插入,然後隐藏進程的木馬,DLL無進程木馬就不會駐留在内存裡面)所以發現取消他的啟動項就會自動添加上的,然後就可以逐步添上輸入法,音量控制,防火牆等軟件的啟動項了。
還有一類木馬,他是關聯注冊表的文件打開方式的,一般木馬經常關聯.exe,點開始-運行,輸入:regedit回車,打開注冊表編輯器,點第一條,也就是HKEY_CLASSES_*OT,找到exefile,看一下exefileshellopencommand裡面的默認鍵值是不是%1%*。如果是一個程序路徑的話就一定是中木馬了,另外配合兩種以上的殺毒軟件也是必要的,另外在windows下木馬一般很難清除,最後重新啟動到dos環境下再進行查殺。
防治方法
開始-設置-控制面版-添加删除程序-windows安裝程序-把附件裡的windowsscriptinghost去掉,然後打開InternetExplorer浏覽器,點工具-Internet選項-安全-自定義級别,把裡面的腳本的3個選項全部禁用,然後把“在中加載程序和文件”禁用。
這隻是簡單的防治方法,可能影響一些網頁的動态java效果,這樣還可以預防一些惡意的網頁炸彈和病毒,如果條件允許的話可以加裝防火牆,再到微軟的網站打些補丁。
網吧用的都是原始安裝的windows,很不安全,盡量少在一些小網站下載一些程序,尤其是一些号稱黑客工具的軟件,小心盜不着别人自己先被盜了。
不要以為裝了還原精靈就很安全,一般網吧的還原精靈都隻還原C:盤即系統區,所以隻要木馬直接感染安裝在别的盤裡的遊戲執行文件,照樣逃不掉的。
反盜措施
1.設置角色密碼(可結合密碼保護卡),
2.設置背包密碼,背包分二部分(G也分2部份,1大額,1小額),一部分需要密碼(可以放重要的财産),一部分不要密碼(放置常用物品),可結合密保卡。
3,裝備欄設置密碼保護卡,上線後需要輸入密保卡解除裝備欄的密報卡數,才能使用技能 ,如果不解除綁定,不能使用技能并且無法交易。
4,倉庫通過密碼打開後,與背包相同。
5,設置退出密碼,輸入退出密碼正常才能下線,非正常下線5分内不能登陸。
6 設置下次登陸地點,玩家下線時可以選者下次登陸的IP段(以市為單位,不在IP段裡面的IP,不能登陸 )
6 計算機綁定,對于有計算機的玩家可以綁定CPU編号,這點某些殺毒軟件有這個技術,你們估計也有這技術。
7,上述六點可結合密碼保護卡,并且可以設置多張密碼保護卡,登陸界面一張密碼保護卡,角色界面一張密碼保護卡,背包一張密碼保護卡,倉庫一張密碼保護卡,退出登錄一張密碼保護卡。補充:密保卡可随自己意願綁定,但是追号大于等于2,背包,倉庫等可以用同1張密保卡(最好不和登陸用同1張),關于手機密保可改為,登陸時不需打手機,登陸後所有物品全部無法交易出售,無法發言,在登陸後打手機才可解除,可防止手機密保在登陸界面被木馬利用。
8,加強遊戲本身防木馬能力。可以和殺毒軟件公司合作設置一款專門用于魔獸的殺毒軟件
9,加入網吧IP段保護
10,這需要網遊公司對現有密碼系統升級
相關資料
密保卡解綁過程:
登陸的時候通過木馬盜取玩家的密碼,并且用盜取的密碼進入密碼保護卡解除綁定的網頁頁面,在通過木馬把玩家登陸時候的三個密碼保護卡數換成密碼保護卡解綁需要的三個數,1次就能騙到密碼保護卡解除綁定需要的三個數了,再解除綁定,玩家的帳号就跟沒密碼保護卡一樣.電話密碼保護也一樣,玩家打了電話,然後登陸的時候通過木馬讓玩家不能連接服務器并盜取玩家的密碼,然後盜取賬号者就2分内可以上去了盜取玩家财産。
案例
一個讓所有遊戲玩家深惡痛絕的名字,辛辛苦苦幾個月,甚至幾年赢來的裝備,頃刻之間全部消失,讓人心痛。據統計,網絡遊戲愛好者87%有過被盜号經曆,而2007年7月4日,金山發布2007年上半年安全報告中,報告指出上半年新增的木馬中,盜号木馬是最嚴重的一類木馬,占到木馬總數的76.04%,高達58245種。
