董师傅茶坊(22)
董师傅茶坊
热血江湖官网被植木马
在5月30日,董师傅接到很多读者的举报,说热血江湖官方网站被人安置了木马,同时他们的网络游戏账户也因此被盗。为此,董师傅展开了调查。
要说网络游戏账户被盗已经不是什么新鲜事了,从最早的“传奇”到现如今的“魔兽世界”,每一款流行的网络游戏成功的背后,都有很多用户曾经被盗号。我们知道,现在黑客用于盗取网络游戏账户最主要的方法,就是通过各种各样的木马程序来完成的。想要将这些木马程序种植到远程计算机中,最简便,同时也是最不为人所察觉的方法就是通过网页传播木马。
根据读者的举报,董师傅登录到“热血江湖”的官方网站(www.rxjh.com.cn),然后进入到 “每日封号”页面。董师傅首先查看了该网页的源代码,由于黑客在安置木马的时候需要运行“IFRAME”功能,所以搜索“IFRAME”这个关键词,很快就找到一个(图1)。
光有一个跳转命令并不能说明什么,于是董师傅在这个网页中查找新的线索。刷新网页后,在IE浏览器的状态栏中连续出现了多个和该网站不相关的网址,这些网址后面还跟随着一个电子信箱地址(图2),有的时候地址栏也会出现(图3)。这些信箱地址也并不是官方的客服信箱,而是一些126这样的免费信箱,这更加引起了董师傅的注意。通过对这段地址的认真分析发现,这些地址后面往往都包括一个用户名和密码,但这些用户名往往和信箱的用户名不相同。
随后董师傅向网络安全专家寻求技术支持,确认这就是黑客用于盗取“热血江湖”这款网络游戏账户的网页木马。地址后面的信箱地址就是黑客用于接收被盗的游戏账户信息的,因为现在的电子邮件服务商都使用了ESMTP技术,那些后面的用户名和密码就是用于发送邮件信息时使用的。
小知识:为了更有效地抑制垃圾邮件的泛滥,许多E-Mail服务商和ISP使用ESMTP的方式来作E-mail发送服务。ESMTP,英文全称是“Extended SMTP”,它与SMTP服务的区别仅仅是,使用SMTP发信不需要验证用户账户,而用ESMTP发信时,服务器会要求用户提供用户名和密码以便验证身份。验证之后的邮件发送过程与SMTP方式没有两样。
董师傅为了证实这位网络安全专家的判断,登录搜索引擎,以 “热血江湖木马”为关键词进行查找,很快就查找到多款可以用于盗取“热血江湖”游戏账户的木马程序。这些木马程序都支持空间、邮件两种发信模式,如果是通过空间进行发信的话(图4),则在网页上的表现形式和刚刚调查的情况一模一样。
在确认“热血江湖”这款网络游戏的官方网站确实存在网页木马后,董师傅立即以网络玩家的身份向网站的客服进行反映,可是董师傅反映了3次,甚至将截图也发给网站客服,但是得到的答复都一样:“网站没有问题,是你自己电脑的问题”。
“热血江湖”作为一家网络游戏的服务商,对于自己的官方网站被植入网页木马,不但不做认真的检测,得到存在木马的反馈后,也充耳不闻,假装不知道,这种做法对玩家极端不负责任。作为官方网站,本来是为玩家提供游戏服务、经验交流、以及问题反馈的地方,现在却“包庇”黑客,纵容这种无耻的盗号行为,对于广大的网络玩家以及网络用户来说,危害性是极其严重的。最终不但会损害广大玩家的切身利益,同样也会给运营商自己带来诸多的不良后果,最后必将搬起石头砸自己的脚。
董师傅热线
出现“运行错误‘91’” 提示
武汉 陆全:我的电脑现在开机时出现一个错误提示:运行错误‘91’,未设置对象变量或with block变量。在提示框左上方还显示winppp。
A:很明显,是一个用VB语言编写的叫做winppp的软件,出现了错误。由于你提供的相关winppp的信息过于简略。董师傅认为,极可能是在winppp编译没有完全的情况下,出现这个问题,只能在VB环境下重新检查代码并正确编译。想取消这个错误提示,就卸载winppp或者干脆运行msconfig取消启动选项关闭winppp的项目。
系统提示权限不够
济南 张天明:我下载了一个WINNTAutoAttack扫描器下来准备使用,但一双击它系统就提示“Windows无法访问指定设备、路径或文件,你可能没有合适的权限访问这个项目”(我是用管理员身份登录的!以前我也尝试过使用类似的软件它都会出现这个提示),我把瑞星杀毒软件和防火墙都关了还是这样,请问这个问题怎么解决?
A:董师傅怀疑是病毒破坏了EXE文件关联,然后被瑞星杀毒软件给杀了,这些文件关联并没有被恢复。你可以尝试运行一些从网上可以找到的注册表文件关联的修复程序,如果也不能运行的话,可把这类程序的后缀改成.com然后运行修复。另外还要注意WINNTAutoAttack是黑客工具,很可能这个软件中捆绑了木马。
如何清除RavMonE
淄博 毕建勇:在我的机器上有一个RavMonE的可执行文件,在Windows的目录下,我插上闪存或MP3自动感染,在闪存或MP3的根目录下产生Ravmonlog的文本文件(只有5个字节),我刚删除掉,又会产生,不知是不是病毒。而且RavMonE可执行文件会引起我的防火墙警告。我用的是瑞星杀毒软件,已升级到最新的版本,可是检查不出病毒,我用的是Windows XP SP2。请问:这是不是病毒,怎么处理?
A:这个程序是木马病毒,很狡猾,因为瑞星实时检测程序的进程名为RavMon.exe。前段时间董师傅也遭遇到了这个病毒。董师傅发现它除了会关掉瑞星外,暂时不会对系统有其他破坏作用,删除方法如下:
在任务管理器终止所有ravmone.exe的进程,进入c:\Windows,删除其中的ravmone.exe,打开注册表,在HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\右边可以看到一项数值是c:\windows\ravmone.exe的,把它删除掉。对移动存储设备,如果中毒,则把文件夹选项中隐藏受保护的操作系统文件勾掉,点上显示所有文件和文件夹,点击确定,然后在移动存储设备中会看到如下几个文件:autorun.inf,msvcr71.dl,ravmone.exe,都删除掉,还有一个后缀为tmp的文件,也可以删除,完成后,病毒就清除了。
注意,打开闪存或MP3时,一定不要双击打开,点右键,选择“打开”。如果右键中有“Auto”一项,则表明闪存已经中毒了!
安装游戏报I/O错误
泉州 周舰:我的电脑买了1年多了,但是几乎没装什么游戏,因为装不上。原因都一样:I/O错误。这是怎么回事啊?是不是和电脑的一些设置有关?
A:董师傅认为,既然从网上下载并安装也会出现此错误提示,那么就可以排除是光驱的问题。董师傅怀疑是软件与系统中的某些设备驱动程序有冲突而引起的I\O错误,建议你试试卸载声卡或者网卡设备,更新主板驱动程序,再安装软件看能否正常通过。
开机后出现错误提示
上海 王海:最近一段时间,我的电脑开机就出现以下英文:“Reboot and select popper Boot device or Insert Boot Media in Selected Boot device and press a key” 。后来,我用GHOST(镜像文件)重新恢复系统,但是过一段时间又出现这个问题。这是怎么回事?
A:这个故障应该是你硬盘上的主引导扇区被破坏了,造成系统无法引导。如果你用的是Windows 98系统,可以用Windows 98启动盘引导系统,然后用“FDISK/MBR”命令修复硬盘的主引导扇区,再用“SYS A: C:”命令传递系统文件,完成后重启电脑,C盘就可以引导成功。
一般造成这种情况的比较少,例如引导区型病毒破坏,当然也有软件是这样的,像类似还原精灵等还原工具,他们都是写主引导区,也可能损坏主引导区。
如何清除Page file病毒
河南 肖白杨:最近我从网上下了一些软件,不小心电脑中毒了。病毒叫做page file,文件类型是指向MS-DOS程序的快捷方式。我想请教一下这是什么病毒,该如何查杀?该病毒在D盘。而且我无法在资源浏览器双击D盘来打开,只能通过点右键选“打开”才行。
A:这是传奇盗号木马的“落雪”病。这种病毒很“阴险”,它在D盘生成两个文件:autorun.inf和pagefile.com,这样你即使格式化C盘并重装了系统,但只要你双击D盘,立马又感染病毒。
董师傅建议你买一张带有杀毒和自启动功能的光盘。将你的电脑中的CMOS设置为光盘启动,在提示从CD启动时按任意键,启动维护光盘。在进入的界面里选择杀毒,并对电脑进行全面的清除。
注意,如果系统引导文件等重要文件感染病毒被清除后,可能会因为文件的损坏而无法启动系统。这是因为病毒损坏了Windows系统的文件,需要重新安装系统或修复系统才可以。如光盘没有系统安装功能,请使用你自己的系统安装盘安装或修复系统。