一盗暴富万民哭
安全阵线
系列进度:第二期
病毒名称:网游大盗
病毒危害:盗窃各种网游账号和密码
小编点睛
此路是我开,此毒是我放,要想玩网游,留下账号来。这可是网游大盗的口号。
本期,我要跟大家聊聊网游窃贼的盟友——网游大盗,可以说网游窃贼和网游大盗是所有网游共同的敌人。在我的印象中,网游大盗是一个拜金的大盗,它捞钱的本事可不小。到底它捞钱的本事有多大呢
吸金的网游大盗
说起网游大盗,最深的记忆来自大学的死党,他说要编写一个病毒程序卖钱,在毕业前开上宝马。那时闻死党如此狂言,我也挺振奋,经过仔细询问,原来他要模仿网游大盗编写一个新的网游病毒。从那时起,我就知道网游大盗这个“毒界奇才”害人、吸金两不误。它危害到底有多大,看看它的售价,你就明白了。
如果带个普通的小弟(俗称小马),那要付七八十块的雇用费。如果要请个强悍的保镖(加壳处理后的小马),那么薪酬是200RMB,一个子不少。如果想要个毒妈妈不停地“生儿育女”(即生成器),那么2000大洋是最低价。
如果想弄个长老(程序加源代码)去电脑的大千世界传道,6000“子弹”也会被消耗掉。如果想掘地三尺,一盗一大片,那么要付出近2万块的个性定制费用。如果是开发上几套个性定制程序,那场面,比炒房地产还凶!
如今,大盗开拓业务把生意进一步做大,学起了杀毒软件的数据库更新,抢起了杀毒软件的饭碗,甚至还开出了8000块钱包年服务,意图以 “优质”的服务与杀毒软件相抗衡,你说它狠不狠?
这么高的售价有人买吗?当然有,而且是争着买,买来之后就会进行疯狂的网游盗号,应了那句话:羊毛出在羊身上。有多少电脑曾经被大盗传染过?有多少网游账号被大盗抢走?有多少人的网游账号和财富被洗劫一空?
病毒原理:网游大盗病毒运行后,会在被感染电脑的system32目录中生成病毒文件。病毒会用带毒的桌面程序explorer.exe替换正常的explorer.exe(图1),继而运行病毒主程序,加载驱动文件关闭杀毒软件的主动防御。病毒还会将DLL插入所有进程中,然后修改注册表相关项,实现开机自启动。
完成以上步骤后,病毒程序便在后台遍历玩家开启程序的窗口,发现相关游戏窗口立即关闭,然后在玩家再次登录时使用内存截取、键盘钩子、封包截取等技术盗取用户的账号和密码资料,最后将这些信息加密后发送到黑客指定的空间。
捕捉网游大盗
如果不小心真的中了网游大盗病毒,应该怎么办呢?捉住它,杀了它!由于中了该病毒后,杀毒软件一般都无法正常工作,所以我们要手动清除。此类病毒的清除方法大同小异,我们以PSW.GamePass.agov为例讲解具体的查杀方法。
第一步:运行进程管理工具Wsyscheck(下载地址:http://www.shudoo.com/bzsoft),点击“工具”,分别点击“修复隐藏文件显示”、“清理IE临时文件”、“清理临时文件”、“清除Autorun.inf”(图2),然后在资源管理器中点击“工具→文件夹选项→查看”,去掉“隐藏受保护的系统文件”前面的“√”,勾选“显示所有文件和文件夹”。
第二步:下载并安装文件解锁软件Unlocker(下载地址:http://www.shudoo.com/bzsoft),进入C盘的system32文件夹(图3),找到auhad.cfg、auhad.dll、msepion.sys,点击右键选择“Unlocker”即可删除文件。不同变种的病毒文件名可能不一样,这时我们应该怎么办呢?可以通过在线杀毒网站查出文件名,再手动清除。
第三步:运行系统修复工具SREng(下载地址:http://www.shudoo.com/bzsoft),点击“系统修复→高级修复→自动修复”。重新启动计算机,按F8进入带网络连接的安全模式,升级杀毒软件至最新病毒库,再进行全盘杀毒,以清除病毒的残留物。
安全小百科:预防网游病毒的方法
第一,使用带网页木马拦截功能的安全辅助工具。第二,保持杀毒软件的每日更新。第三,使用账号保护工具登录游戏。第四,定期更改游戏的密码。第五,平日不乱访问网站,特别是色情网站,色情网站是病毒的“大本营”。