盗号木马你知多少?网游木马挨个防!
特别策划
盗号,这个邪恶的行为从网游诞生之日起至今从未间断过。近几年网络游戏的飞速发展,使得盗号行为越来越明目张胆,让玩家在享受娱乐的同时也时不时地冒着冷汗。2006年,是盗号行为最泛滥的一年!
盗号最常用的工具是木马程序,这是玩家用脚趾头都能想到的。那么你知道你正在玩的游戏有多少热门木马么?在3·15来临之际,同我们一起来看看热门网游中有可能隐藏的这些杀手吧!
《魔兽世界》
由于《魔兽世界》中的“金币”很抢手,《魔兽世界》的账号也是最容易被窃的。Baidu和Google两大搜索引擎就“魔兽世界 盗号”这个关键词的搜索达到320000条和181000条信息。在2006年,我们收到玩家反映的“魔兽世界账号”被盗事件的电子邮件达到了3600封!
热门木马:大陆魔兽木马、魔兽屠宰者、冰域科技大陆美国魔兽木马、上兴魔兽生成器、魔兽世界屠戮者、魔兽占有者Ⅲ
分析:木马运行以后被释放到系统的Windows目录,同时生成一个木马的主程序和一个用于键盘记录的DLL文件。木马利用Rootkit手段将文件进程进行了隐藏,同时修改系统注册表中的SHELL项进行木马的启动。
防范要领:由于这类木马程序是通过SHELL项进行启动等,所以我们可以经常通过System Repair Engineer这个程序来检测系统的启动项。如果它发现SHELL项默认的键值被修改成非默认值,就会弹出一个警告提示,提醒用户注意,这样用户就可以顺藤摸瓜地清除系统中的木马。
《征途》
相比《魔兽世界》,《征途》中发生账号被盗的几率稍低,但大家通过Baidu和Google搜索“征途 盗号”仍能得到120000和210000条的搜索结果,我们在2006年收到的玩家反映账号被盗的E-mail也有310多封。
热门木马:空虚征途盗号器、征途密码寻回者、征途显装备版木马生成器、征途木马生成器、征途黑手木马生成器
分析:当木马运行发作以后,会将自身复制到特定文件夹下,比如系统的Windows目录以及Syetem32目录等。接着释放出盗号的主程序文件,并将它添加到系统服务中以便随机启动。当网络资源可用时,木马还会尝试连接特定的网站进行程序文件的自动更新。
防范要领:点击系统开始菜单中的“运行”命令,在命令框中输入msconfig命令,接着在弹出的系统配置窗口选择“服务”选项卡,然后点击其中的“隐藏所有MICROSOFT服务”选项。这样从剩下的系统服务中就可以查找到,那些可能被木马利用的服务。
《热血江湖》
最早免费运营的《热血江湖》是中国网络游戏中盗号最严重的游戏。在Google和Baidu搜索“热血江湖 盗号”,Google相关查询结果有112000项,而Baidu相关查询结果有108000项。据统计,仅2006年,《电脑报》编辑就收到玩家的盗号投诉《热血江湖》1500次以上。
热门木马:热血江湖木马生成器、热血江湖最新木马显装备版、热血江湖终结者、江湖黑手生成器、热血江湖内存版木马生成器
分析:当木马运行以后会将自身伪装成系统正常文件以迷惑用户,利用键盘钩子技术将主盗号模块注入《热血江湖》游戏主程序,并在后台监视、记录用户的游戏账号、密码、角色装备、物品密码、用户机器名等信息。
防范要领:首先从系统的启动项着手,通过AutoRuns可以看到系统相关的各种启动项,比如注册表、服务、驱动等。只要在列表中的“说明”和“发行商”两项都没有标注的项目,就需要引起用户的高度注意,因为这些“三无产品”就是木马程序的重要标志,而正规的程序都有这些标注的。
《梦幻西游》
由网易开发的《梦幻西游》是中国首批适合未成年人的优秀网络游戏产品。我们试着用Baidu和Google引擎搜索“梦幻西游 盗号”分别搜到了115000条和237000条相关信息。2006年,我们的电子邮箱中也收到了600余条读者朋友们反映的《梦幻西游》账号被窃事件。
热门木马:梦幻木马生成器、梦幻木马最新最全功能版、梦幻西游木马生成器、梦幻西游木马(支持密码锁)、 梦幻西游木马新春贺岁版
分析:当木马被用户运行后,会复制自身到系统的临时目录中,并且生成一个和IE浏览器进程文件非常相似的iexpl0re.exe,同时释放的DLL文件注入到其他进程中,并且会将木马程序添加到注册表的Run启动项中。
防范要领:通过《木马辅助查找器》这款检查工具“进程监控”标签中的“自动扫描可疑程序”按钮,就可以帮助用户自动分析木马程序。另外通过启动项管理中可以查看到系统的全部启动项,通过和刚刚“自动扫描可疑程序”结果进行对比,就可以多方面来检测系统中是否存在木马。
《跑跑卡丁车》
《跑跑卡丁车》是一款Q版竞速游戏,配置要求低,使它成为了网吧电脑中普及的网络游戏之一。在Google和Baidu搜索“跑跑卡丁车 盗号”,Google相关查询结果有111000项,而Baidu相关查询结果有82000项。据统计,2006年期间,《电脑报》编辑收到玩家的盗号投诉《跑跑卡丁车》在400次以上。
热门木马:跑跑卡丁车木马生成器、跑跑卡丁车大盗、跑跑卡丁车盗号器
分析:当木马被激活以后,它首先将自己的进程插入到系统的IE浏览器之中,同时隐藏启动服务。另外由于木马使用了线程插入技术,所以可以轻易穿透任何防火墙的拦截。
防范要领:对付这种隐藏了进程的木马程序,需要使用IceSword这款检测工具。首先运行IceSword,接着点击左侧工具栏中的“进程”按钮,如果发现进程列表出现了红色标明的进程,那么这就是被木马隐藏的进程,应该立即点击鼠标右键中的“结束进程”命令结束这个进程。
《武林外传》
《武林外传》以同名电视剧作为噱头,深受年轻一代玩家的喜爱。在Google和Baidu搜索“武林外传 盗号”,Google相关查询结果有58200项,而Baidu相关查询结果有82500项。2006年底至今,《电脑报》收到玩家的盗号投诉《武林外传》在190次左右。
热门木马:武林外传木马生成器、武林外传盗号木马、武林外传木马(传染版)
分析:《武林外传》相关的木马在运行后,首先会拷贝木马副本到系统目录,同时释放另一个病毒DLL文件。木马程序会在系统后台寻找网络游戏《武林外传》的程序进程,然后将窃取的信息通过电子邮件等方式发送给木马种植者。
防范要领:由于木马程序将自身插入到explorer进程,也就是资源管理器的进程中,所以只要网络防火墙提示用户这个进程要求访问互联网,那么就立即阻止该进程的访问。然后通过系统的任务管理器结束该进程,并对木马进行查杀操作。
《劲舞团》
《劲舞团》是国内火爆的老牌休闲网络游戏之一。在Google和Baidu搜索“劲舞团 盗号”,Google相关查询结果有109000项,而Baidu相关查询结果有94200项。2006年,《电脑报》编辑收到玩家的盗号投诉《劲舞团》在260次左右。
热门木马:劲舞团盗号木马、劲舞团木马生成器、劲舞木马
分析:《劲舞团》的木马程序会自我复制到系统目录下,接着随机生成一个文件名称,同时修改系统的注册表文件实现开机自启。由于该木马程序采用Rootkit技术、随机更改文件名称,对自身进程及文件进行多线程保护,具有极强的自动恢复能力。
防范要领:推荐使用《超级巡警》这款安全工具,可以对系统中是否存在Rootkit进行检测,如果检测到Rootkit的存在就表示系统中还有可能存在木马。另外由于Rootkit技术会对木马等信息进行隐藏,但是该程序依然可以有效检测出,这样就可以更有效地证实木马的存在。
后记
现在很多的恶意程序,包括游戏木马和其他木马等,为了盗取用户的账号密码都编写了专门记录键盘操作的钩子插件,而编写这些钩子插件都需要调用系统的函数钩子。所以用户首先不要轻易运行从网上下载后未经杀毒软件处理的文件,强烈建议先用最新病毒库的杀毒软件进行扫描,然后再决定是否运行。
另外要想保护自己的游戏账号的安全,只要阻止木马调用系统的函数钩子即可。这里我们为大家推荐《小鬼当差》和《游戏木马检测大师》这两款工具。其中《小鬼当差》中有一个“启用键盘钩子防火墙”功能,它可以在有木马启动键盘钩子时弹出提示框,让用户判断是否允许安装键盘钩子。目前版本的《小鬼当差》支持对WH_KEYBOARD,WH_JOURNALRECORD 类型的键盘钩子的拦截;《游戏木马检测大师》也包括一项“钩子列表”功能,它显示系统已经安装的各种钩子。如果你的系统出现了函数钩子的提示,说明你的一切键盘输入都被监控了,你在运行游戏的时候就应当多加小心。