&&& 最新捕获“大话西游3”流行盗号木马
最新捕获“大话西游3”流行盗号木马
近日微点主动防御自动捕获了一个专盗大话西游的盗号木马"Trojan-PSW.Win32.OnLineGames.dgiv"，据微点反病毒反家介绍，用户中该木马后，会出现"大话西游3"游戏无故关闭、输入用户名、密码、密保时游戏运行缓慢的现象，最终将导致虚拟财产被黑客盗取。
该木马运行后，采用进程注入，加载动态库文件，安装全局消息钩子，获取用户输入的"用户名"、"密码"以及"密保"等信息，并利用命令行实现自删除。成功盗取利用户输入的"用户名"、"密码"以及"密保"等信息后，该木马将利用网页收信方式，发送至黑客指定页面。
已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现"未知木马"，请直接选择删除处理（如图1）；
图1 微点主动防御软件自动捕获未知病毒（未升级）
如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Trojan-PSW.Win32.OnLineGames.dgiv"，请直接选择删除（如图2）。
图2&& 微点主动防御软件升级后截获已知病毒
提示：试试键盘 “← →” 可以实现快速翻页
最新病毒新闻文章
安防及入侵检测报价
搜索关键词01-2801-2801-2801-2801-2801-2801-2801-28软件与服务//
《魔兽世界》出现新盗号木马 公会推荐360查杀
　　2014新年开始，暴雪官方就以蓝帖提醒玩家，注意防范一个可以盗取用户游戏账号、密码及安全令牌信息的新型木马，国服玩家也受影响。有公会会长验证发现，此木马主要通过一个假冒的Curse插件网站传播，国内的360安全卫士和360杀毒都会对木马报警拦截，推荐魔兽玩家使用360防范和查杀盗号木马。
　　据验证，当玩家搜索“Curse客户端”，搜索结果前几页存在假冒Curse插件网站的钓鱼站点，如果通过钓鱼站下载安装包含木马的假客户端文件，电脑又没有使用有效的安全软件，木马就会盗取《魔兽世界》游戏的账号密码和安全令牌信息。对近期被盗号的玩家，暴雪蓝帖建议玩家创建一个MSInfo文件，并在启动项中寻找与"Disker"或"Disker64"相关的项目删除木马。
　　更简单的方法则是使用安全软件或者专杀工具。记者采访360获悉，360安全卫士已监测到最新的魔兽盗号木马，并能自动拦截和查杀该木马，用户不必担心被此木马盗号。
　　反病毒工程师发现，魔兽新盗号木马激活后，首先会尝试将自己添加到开机启动项，再通过注入线程强制结束魔兽世界进程的方式逼迫用户重新登陆游戏，以获取用户的游戏账号、密码以及安全令牌等信息并实时发送给盗号者。如果玩家发现游戏异常关闭的情况，应立即下载有效的安全软件进行查杀，切勿输入任何账号信息!
　　需要特别一提的是，在64位操作系统上，魔兽玩家需要使用360安全卫士“核晶”引擎预防此木马。由于Windows系统限制，很多安全软件在X64平台无法实现内核级防护，目前只有少数几款软件通过CPU硬件虚拟化技术能够实时拦截木马，包括国外的McAfee、Avast，国内的360“核晶”引擎。
　　核晶引擎在64位系统拦截魔兽新盗号木马(INTEL-VT)
　　扫描检测盗号木马
　　附：新型魔兽世界盗号木马简单分析
　　该木马可以通过盗取魔兽世界游戏账号，密码，动态口令，大区信息，同步在后台登陆被盗账号，窃取游戏金币，游戏装备等。
　　1、木马导出两个函数，加上入口点的dllmain，共提供3个对外的函数。
　　分别是木马重新注册ClearSelf，删除木马的原有文件
　　2、修复原有注册表项到现在程序的位置
　　4、木马安装导出函数DW中完成，设置全局消息钩子，截取信息
　　5、设置木马的配置信息
　　6、木马写启动项注册：
　　7、盗号，DLLMain中执行游戏盗号
　　木马的一个服务器：
　　窃取的游戏信息：(包括游戏id，大区，服务器，口令，验证码等)
　　木马打出的调试信息
　　木马的安装程序，复制结束游戏进程，迫使用户再次登陆游戏：
　　此类木马的一个管理工具：
　　盗号木马工作流程：
　　1、释放木马文件，设置全局钩子，等待抓去游戏信息。
　　2、注册开机自启动，保证木马长期存活。
　　3、结束wow.exe进程，迫使游戏掉线，等待用户再次登陆游戏。
　　3、抓取用户登录信息，同步发给后台，同时由后台控制干扰游戏正常登录。
　　4、利用这段时间，盗号者迅速通过抓去的账号，密码，动态口令等信息登录游戏。
　　5、洗劫游戏金币，游戏装备。
关键词：网络安全,魔兽世界,盗号木马,360查杀
责任编辑：江北
All Rights Reserved, Copyright , .cn渝ICP证B2-号 如有意见请与我们联系 powered by 天极内容管理平台CMS4i
京公网安备84号今日公告：&
最新更新：
|&&&| &| &&|
| & |&&& |& |&& |
您现在的位置：&&&&&&&&&
《大话西游3》谈木马盗号原理和防盗要点
　　首先，盗号者会制作盗号木马。木马可能被伪装成各种各样看似合法的东西，比如一个文本文件、一个电影文件、一个系统文件等。一般的，木马都是具有exe后缀的可执行文件，也有一部分是具有dll后缀的动态链接库。
　　其次，盗号者会将盗号木马分发出去。分发手段各异，常见的是来自于网页上的自动下载、软件捆绑、钓鱼等。
　　然后，木马在被害计算机上运行。木马的运行可能是自动的，也可能是由用户触发的。大部分木马都会在注册表中设置一个自动运行的项目，以便每次开机都启动一个守护进程，开始监控系统中所有的窗口，当某窗口的特征符合它所要监控的特征时，木马进程便被激活。也有一部分木马是以动态链接库dll文件的方式存在，当特定的目标程序启动时，它才开始运行。对于后者，查杀起来要相对难一些，因为它并非总是可见的。
　　其次，木马开始监控计算机的键盘操作，这通常是通过一个被称为键盘钩子(Hook)的东西来实现的。木马会截取用户所有的按键，这其中就包括了用户名和密码。为了预防这种盗号手段，很多游戏设置了鼠标输入附加密码的功能，但是木马也随之改进，直接监控计算机的网络数据包，提取出其中的用户名和密码。
　　再后，木马将截获的用户名和密码提交给盗号者。早期的提交手段是通过电子邮件方式发送给特定信箱，但是由于目前的即时杀毒软件都具备邮件扫描功能，因此此举经常遭到封杀。现在有了更多的提交手段，比如通过http协议(目标80端口)提交数据。
　　最后，盗号者使用盗取的帐号和密码登录游戏，盗取虚拟财产。显然，盗号者必须同时得到帐号和密码才可以登录游戏。
　　了解了这些原理，我们就可以制定应对策略。但是这些方面的内容相当繁杂，因此，我以FAQ的方式给出。
　　Q:我的计算机上有木马吗？
　　A:首先，如果你的杀毒软件提示了某种木马的存在，那么多数情况下是存在木马的；如果你发现了某可疑程序而杀毒软件并无提示，那么有可能你的计算机中存在新的木马。总之，我们需要时刻提高警惕，有理由怀疑任何非正常现象。
　　Q:我该在哪里登录我的游戏帐号？
　　A:如果有可能，永远只在你自己防护良好的个人计算机上登录帐号。许多网吧是盗号的高发场所，一方面是因为多人共用计算机导致容易被人做手脚，另一方面，许多黑心的网吧老板和网络管理人员本身就是靠盗号赚取不义之财的。
　　Q:我中奖了耶！
　　A:请留意任何中奖信息的细节。官方的抽奖活动，事先都会有公告，并有详细的活动细节规则发布在官方主页上。而且，发奖的时候都是在游戏中在线发奖，都不需要提供游戏帐户登录密码，通常也不需要登录到任何网站去领奖。所以骗子们的中奖通知多数都包含小学文化水平的滑稽语法，让你去登录一个网站以领取奖品，或者让你在线密语一个所谓的GM，告知对方帐号和密码以便“核实”身份。如果遇到这种情况，那么100%对方是个骗子，请立即举报！
　　Q:我该从哪里下载游戏客户端？
　　A:推荐从官方主页上下载客户端，或者购买官方发行的正版光盘。一般在下载主页上都会给出客户端的MD5校验码，下载后请使用校验工具校验一下，只有校验码完全一致的客户端程序才是可信的。
　　Q:我可以用外挂吗？
　　A:不要用。这不仅仅是一个道德问题，更多的是外挂本身往往包含不可预知的危险。如果你非用不可，那么盗号损失自负。(有些外挂的可执行程序不符合现有的任何木马特征，但是能够在用户授权的情况下“合法”的将你的帐号和密码发送给盗号者。)
　　Q:我该相信我的朋友吗？
　　A:永远不要把你的帐号和密码告诉任何游戏中认识的“朋友”，无论何种理由！你或许认为一个铁哥们花一年的时间陪你练级、无私的帮助你不至于骗你的装备――可是，如果他同样在“无私”的帮助其他一百个玩家呢？现实世界中的朋友也不见得是可信的。某玩家接受了同学传过来的“舒淇写真集”，为exe电子书格式，运行后计算机即中了木马。问题在于他的同学同样是个电脑白痴。所以，你只能相信一个具备良好计算机安全知识、并且有足够了解的现实中的朋友。当然，你也可以信任Dreaman，或者，不信任。
　　Q:我的游戏采用了电子密保器，如网易将军令或盛大密宝，为什么仍然被盗号？
　　A:这应验了一句话，道高一尺魔高一丈。电子密保器虽然采用所谓的动态密码，但是由于其动态性是离线的，因此其动态密码算法一旦被破解，盗号者只需获得两次动态密码和时间，就可以准确推算出任何时刻的动态密码。所以，切不可因为采用了电子密保器而放松了对计算机安全的关注。
　　Q:我电脑中的盗号木马已经被清除了，是不是我就可以安全的登录了呢？
　　A:不是！发现木马后最重要的事情就是第一时间修改帐号密码，因为你的帐号密码已经被木马所窃取！此外，游戏帐号密码应该符合复杂密码的条件，并且要经常更换。
　　Q:当前有哪些帐号密码加强措施？
　　A:除了前面所提到的电子密保器，还有在线的密码保护问题、手机绑定、动态软键盘附加码、实名认证、在线帐号锁定、USB钥匙等手段。为了确保帐号安全，建议启用所有密码加强措施。一般在官方主页的“帐户管理”页面中可以看到这些加强手段。
　　Q:我可以玩私服吗？
　　A:除了道德问题，你同样可能面临安全问题。由于私服客户端程序多是经过修改的，不排除包含木马的可能。你如果在私服中注册了同官服完全相同的帐号、密码，那么你很有可能会失去官服上的虚拟财产。此外，私服客户端中可能存在的隐患还有可能盗取你的银行帐户密码、劫持你的浏览器等。
　　Q:游戏中有人宣传色情站点，我好想去看看啊！
　　A:除了骂你一句，我没有更多要说的了，你的帐号被盗是迟早的事情。
　　Q:可以找代练公司吗？
　　A:代练公司对你的帐户信息了如指掌，他们在日后想要扒光你的装备也不是没有可能。
　　Q:有人要买我的装备，让我去他那边的一个网吧去当面交易。
　　A:首先，现金交易的虚拟装备目前在法律上存在地位争议，你的权益很可能无法得到保障。其次，对方让你去他所指定的网吧，很有可能该网吧已经准备好记录你的帐号和密码了。所以如果你非要现金交易，那么让对方到你指定的计算机上来交易，如果对方不肯，那么取消交易。
　　Q:他怎么知道我的个人信息的？
　　A:你在游戏中聊天的时候，大概没有注意到旁边一个不起眼的角色，他就在一边静静的听着你们的谈话内容。所以任何涉及到个人信息的内容，切记要用密语，不要在通用频道、团队频道、公会频道等开放频道发言。
　　Q:我的号被盗了，我该怎么办？
　　A:帐号被盗，第一件事情就是保存证据和现场。证据包括截图、帐号注册信息、个人身份信息、怀疑盗取帐号的计算机等。由于装备的虚拟性，如果你能够充分证明是别人恶意盗取你的装备，那么完全有办法恢复你所有的虚拟财产并给予盗号者处罚。
　　Q:有人出售帐号，我能买吗？
　　A:买来的帐号不一定是安全的，一方面卖家可能通过密码保护、身份证件验证等手段重新获得帐号密码，另一方面该帐号可能是被盗取的，正在寻找一个替罪羊。另外，帐号的现金交易是非法的(违反游戏最终用户协议)，不受法律保护。
　　Q:游戏中的道具会携带木马吗？我是否会因为与别人在游戏中交易而感染病毒木马？
　　A:只要你的客户端没有问题，游戏中的正常虚拟物品交易不会带来任何木马或者病毒。
　　下面是几种木马的介绍：
　　1、破坏型
　　惟一的功能就是破坏并且删除文件，可以自动的删除电脑上的DLL、INI、EXE文件。
　　2、密码发送型
　　可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用WINDOWS提供的密码记忆功能，这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件，把它们送到黑客手中。也有些黑客软件长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。
　　在这里提醒一下，不要认为自己在文档中加了密码而把重要的保密文件存在公用计算机中，那你就大错特错了。别有用心的人完全可以用穷举法暴力破译你的密码。利用WINDOWS API函数EnumWindows和EnumChildWindows对当前运行的所有程序的所有窗口(包括控件)进行遍历，通过窗口标题查找密码输入和出确认重新输入窗口，通过按钮标题查找我们应该单击的按钮，通过ES_PASSWORD查找我们需要键入的密码窗口。向密码输入窗口发送WM_SETTEXT消息模拟输入密码，向按钮窗口发送WM_COAND消息模拟单击。在破解过程中，把密码保存在一个文件中，以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举，直到找到密码为止。此类程序在黑客网站上唾手可得，精通程序设计的人，完全可以自编一个。
　　3、远程访问型
　　最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。以下的程序可以实现观察"受害者"正在干什么，当然这个程序完全可以用在正道上的，比如监视学生机的操作。
　　程序中用的UDP(User Datagram Protocol，用户报文协议)是因特网上广泛采用的通信协议之一。与TCP协议不同，它是一种非连接的传输协议，没有确认机制，可靠性不如TCP，但它的效率却比TCP高，用于远程屏幕监视还是比较适合的。它不区分服务器端和客户端，只区分发送端和接收端，编程上较为简单，故选用了UDP协议。本程序中用了DELPHI提供的TNMUDP控件。
　　4.键盘记录木马
　　这种特洛伊木马是非常简单的。它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。据笔者经验，这种特洛伊木马随着Windows的启动而启动。它们有在线和离线记录这样的选项，顾名思义，它们分别记录你在线和离线状态下敲击键盘时的按键情况。也就是说你按过什么按键，下木马的人都知道，从这些按键中他很容易就会得到你的密码等有用信息，甚至是你的信用卡账号哦!当然，对于这种类型的木马，邮件发送功能也是必不可少的。
　　5.DoS攻击木马
　　随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器，给他种上DoS攻击木马，那么日后这台计算机就成为你DoS攻击的最得力助手了。你控制的肉鸡数量越多，你发动DoS攻击取得成功的机率就越大。所以，这种木马的危害不是体现在被感染计算机上，而是体现在攻击者可以利用它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失。
　　还有一种类似DoS的木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止。
　　6.代理木马
　　黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的，因此，给被控制的肉鸡种上代理木马，让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马，攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序，从而隐蔽自己的踪迹。
　　7.FTP木马
　　这种木马可能是最简单和古老的木马了，它的惟一功能就是打开21端口，等待用户连接。现在新FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进人对方计算机。
　　8.程序杀手木马
　　上面的木马功能虽然形形色色，不过到了对方机器上要发挥自己的作用，还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序，让其他的木马更好地发挥作用。
　　9.反弹端口型木马
　　木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端 (被控制端)使用主动端口，客户端 (控制端)使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见，控制端的被动端口一般开在80，即使用户使用扫描软件检查自己的端口，发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况，稍微疏忽一点，你就会以为是自己在浏览网页。
社区精华推荐
本栏目文章点击排行
网游图片强档推荐
太平洋网站群热点
太平洋专业网站群:　　┊　　┊　　┊　
版权所有 &太平洋游戏网
内容联系：业务洽谈：021－2 &&业务Email：
PCgames版权所有，未经授权禁止转载、摘编、复制或建立镜像，否则追究法律责任。