传奇账号很受伤
网络通信
小张是传奇的铁杆玩家,每天都要花近10个小时在里面厮杀,可是前两天却突然发现登录不上了。这下可急坏他了,自己买装备差不多已经花了几百大洋了,最重要的是自己几个月的辛苦练级瞬时化为乌有……
案情分析:道高一尺,魔高一丈
听了小张的陈述,反黑刀也暗暗为现在这些游戏玩家担心起来了。盗号这个话题已经不是新鲜事了,而且现在盗取传奇账号的木马软件越来越多,尽管早期的很多木马已经能被木马克星等安全工具所查杀,但是传奇账号被盗的案例却仍然不时发生。木马的更新快、变种之多令人吃惊,大有“道高一尺,魔高一丈”之势!叫人防不胜防。
“现在盗取传奇账号的方法通常有两种”。“哪两种?”小张对此行为愤怒不已,反黑刀的分析刚开了个头儿就被他抢问道。
1.键盘记录
这是早期的密码盗取方式,一般是使用一些木马软件。在运行了这些软件的机器上登录传奇后,那么你的密码就会通过邮件发送给对方。这类软件依赖于使用键盘输入账号密码,因此只要使用软键盘输入即可有效地防范。
2.木马远程盗取
这类软件与早期的键盘记录最大区别就在于不完全依赖于键盘。即使你使用软键盘输入或者使用“复制/粘贴”都能有效地截取到你的密码。
这类软件有传奇黑眼睛、传奇叛逆、传奇密码使者、传奇猎手、传奇终结者等,但是很多软件都能被木马克星、密码防盗专家、绿鹰PC精灵等查杀。这些软件常常会不定期推出新的变种,比如传奇终结者前不久就出现了一个新的“传奇终结者变种FP(Trojan.PSW.LMir.fp)”病毒,该病毒通过网络传播,Win9X/NT/2000/XP版本系统都难逃其魔爪。
启动后它会将自己安装到“Windows”目录下,文件名为“svchosts.exe”,在注册表启动项下添加自己的键值,实现随系统启动。病毒会在后台隐蔽运行,试图杀死多个反病毒软件的进程,窃取网络游戏传奇的账号。
小张摇了摇头,叹气道:“我在家里上网,基本不去网吧,键盘记录盗取的可能性没有,难道是后面一种方式?也不对啊,我一向非常注意网络安全,系统中安装了防火墙软件和杀毒软件,而且都更新升级到了最高版本,一般盗取传奇密码的软件是不能轻易进入系统的”。
反黑刀摘下眼镜哈了口气,用手巾轻拭着,暗忖,对方居然能绕过小张配置的防火墙进入系统,手段还不弱。难道是……?看着反黑刀嘴角歪笑,小张知道,他定是有了把握。
突击侦破:邪恶的传奇密码邮差
“一定是盗号木马。你知道,它躲开了现在很多安全工具的查杀并且顺利进驻了你的电脑系统,再盗取传奇账号!”小张听完反黑刀的分析怔了一下,怎么又是木马,晕。
反黑刀很快在小张的电脑里找到了盗取密码的真凶——传奇密码邮差。“该木马能够准确截取传奇的相关信息,包括登录区域、用户名、密码、服务器以及游戏角色的等级、职业、性别、昵称、装备等,并且不会被目前的杀毒软件所查杀”。
“果然够狠”小张盯着躲在电脑中的木马真凶,无奈地摇头道。“看看黑客是如何撞过重重关隘盗号得手的,以便以后有针对性地防备”。“嗯嗯!”小张盯着屏幕的头使劲点头道。
黑客入侵第一步:配置传奇密码邮差
下载该软件后将文件解压,运行Setup.exe文件即可打开“传奇密码邮差”木马生成窗口。这里共有三项需要设置,在“信箱”内输入用于接收盗取的密码信息的邮箱;在“标题”中输入邮件的标题;正式版本还需要输入“注册码”。输入完毕后点击下面的“生成文件”按钮,在弹出的“保存生成的文件”窗口中输入文件名,这是一个EXE格式的文件,通常黑客会将这个文件名改成一些软件名或者其他具有迷惑性的名字。输入文件名后点击“打开”按钮,软件提示文件已经保存成功,单击“OK”按钮完成木马的配置。
黑客入侵第二步:伪装发送木马
生成的木马文件只有29.5KB,这样黑客很容易将该木马与其他文件捆绑或者制作成网页木马。只要运行了这个可执行文件就会中招!当然如果黑客直接发送EXE文件给别人,稍微有点安全常识的人都不会接收,这里介绍黑客伪装的一种方法——图片欺骗法!
在为生成的木马命名时,黑客通常会命名为photo.jpg,粗一看是一个图像文件,实际上这只是一个文件名,而真正的文件格式(.exe)在Windows默认状态是不显示的,所以很多人都会接收,等到点击时发现什么也没有,黑客则会说是发错了,而你实际上此时已经运行了这个盗号木马。
反黑刀支招:对盗号Say No
要防止游戏账号被盗,我们必须做好自身的安全配置和对外防御两方面的工作。只有内外加固,方能做到滴水不漏!
1.防止传奇木马首先要在电脑里装能够定期升级的常用杀毒软件,如瑞星2003、KV3000、木马克星等,也要经常使用专杀木马工具进行检查。
2.有些木马运行后会强制关闭杀毒软件防火墙和木马克星、绿鹰PC万能精灵等专杀木马工具。这时候就要用系统进程检查工具。比较好用的是超级兔子,因为它并不是专杀木马的工具,所以木马都不会强制关闭它,如果你的电脑上已经运行不了木马克星和绿鹰精灵了,也就是双击这些软件没有反应时,那就需要运行它来检查系统进程,看看有没有可疑的进程。运行这个软件后,里面有一项是自动运行,点开它,在出现的窗口中,左边是进程管理,也就是目前正在运行的进程;右边是自动运行,也就是每次开机时自动运行的进程。由于木马运行后都会在系统中留下进程,也会随电脑自动运行,而这时在超级兔子里的系统进程和随机自动运行的进程都一目了然了,所以也就很好查杀了。找出可疑的进程,终止进程就可以了。
3.不要轻易接收别人发来的文件或者打开邮件中的附件,彻底堵住木马的入口。
小资料:常见传奇木马的一些进程
传奇黑眼睛:c:\windows\taskmon32.exe,自动运行进程:taskmon32
传奇叛逆:c:\windows\system\internet.exe,自动运行进程:intel
传奇终结者:c:\windows\scanrew.exe,自动运行进程:scanrew
传奇密码使者:c:\windows\system\cleanmgl.exe和c:\windows\system\sticpl.exe,自动运行进程:microsoft
传奇猎手:c:\windows\system\winsys.exe,自动运行进程:winsys
传奇幽灵:c:\windows\internet.exe,自动运行进程:internet
传奇天使:c:\windows\kiss.exe,自动运行进程:kiss