近日,針對各種網絡遊戲的病毒頻繁出現,給廣大遊戲玩家帶來了不少麻煩。昨天,一位“熱血江湖”玩家張先生打電話到
金山 尋求幫助,“我大概晚上7點左右下線,8點左右上線,不到一小時,3萬元左右的裝備被洗劫一空,當時腦子一片空白,真不知道該如何是好!”類似張先生的遭遇相信在網絡遊戲的玩家中並不少見,近日,筆者一位朋友的MSN簽名就改爲“辛辛苦苦三十年,一夜回到解放前,盜號者死光光”的一段文字,雖然有點過激,但足可以看到被盜號玩家內心的氣憤與無奈。
2006年10月27日,金山毒霸全球病毒檢測中心發出警告:一種名爲“熱血江湖變種CK”的病毒正在利用網絡進行大肆傳播,造成大面積熱血江湖玩家帳號密碼失竊,專家提示玩家,養成良好的網絡使用習慣,遵循網絡遊戲規則,不要輕易打開陌生文件,以免感染病毒。.
“熱血江湖變種CK ”病毒特征分析: 1.病毒運行後會釋放多個病毒輔助文件,添加係統服務,並隱藏病毒文件和病毒進程,使用戶對其查殺産生困難。
2.病毒會安裝全局鈎子,監視遊戲窗口,在後台記錄用戶帳號信息。
3.連接網絡,將獲得的帳號信息提交到指定的網頁。 病毒行爲分析: 1.釋放如下文件到%temp%目錄:packet.dll、npf.sys、oprar.exe、wanpacket.dll、7.dll、winrar.sys、_wpcap_.inf,複制npf.sys到%system%drivers目錄下,之後生成.bat文件刪除%temp%npf.sys和wpcap_.inf。其中,oprar.exe爲盜取帳號的主要病毒文件,7.dll,winrar.sys爲添加服務、實現隱藏病毒的輔助文件。 2.添加名爲squell1的係統服務,其執行文件路徑指向%temp%winrar.sys,hook如下係統函數:NtCreateFile/NtEnumerateKey/NtEnumerateValueKey
/NtQueryDirectoryFile/NtQuerySystemInfomation,實現隱藏病毒進程、注冊表項和病毒相關文件等。 金山毒霸曆數近期8大網遊病毒 “魔獸大盜變種pe”(Troj.WOW.pe) 據金山毒霸反病毒工程師介紹,這是一個盜取魔獸世界遊戲帳號的木馬。
它能釋放一個DLL文件注入到Explorer.exe進程中,使病毒更隱蔽。病毒運行後,病毒被運行後,會把自己拷貝到下面的地方:C:WindowsSystem32Launcher.exe,並在同一目錄下釋放
一個名爲mywow.dll的文件,該DLL文件也是個病毒 。
病毒會在注冊表中添加一自啓動項,使自己能隨Windows啓動。Launcher.exe運行後,會檢查system32下有沒有mywow.dll文件,若存在,就把該DLL注入到Explorer.exe進程中運行,
若不存在,就會再釋放一個出來注入進程,在Explorer.exe中的病毒文件(mywow.dll)會尋找魔獸世界的遊戲窗口,若發現,則從遊戲中讀取相關的信息,包括遊戲玩家的帳號,密碼,登錄服務器,物品,裝備等,並把得到的信息通過網站上傳的方式發送給木馬種植者,使用戶的遊戲帳號丟失。 “傳奇大盜變種bt”(Troj.Lmir.bt) 據金山毒霸反病毒工程師介紹,這是一個能釋放出另外兩個傳奇病毒盜取用戶的傳奇遊戲帳號的傳奇木馬。
病毒運行後會釋放出兩個病毒文件:%window%399952.dll,%window%399952M.BMP,之後完成後會自刪除。
病毒會在注冊表中添加一自啓動項,使病毒能隨Windows啓動399952M.BMP會把自己插入到conime.exe進程中運行, 使病毒運行時沒有産生新的進程,增加了查殺的難度,之後399952M.BMP會調用399952.DLL文件來盜取遊戲的帳號與密碼,然後把得到的數據通過網站上傳的形式發送給木馬種植者指定的網站上,使用戶的遊戲帳號與密碼丟失。
“天堂大盜變種dq”(Troj.Lineage.dq) 據金山毒霸反病毒工程師介紹,這是一個盜取網絡遊戲“天堂”的木馬病毒。
該病毒在受感染的係統中釋放以下文件:C:WINDOWSDownloadsvhost32.exe,並在C:Windowssystem32wldll.dll路徑中釋放一個DLL文件;
該病毒還將在注冊表自啓動項中添加特定項,使其隨windows啓動。病毒一旦盜取玩家的帳戶信息後以郵件方式發送到木馬種植者郵箱中,給玩家帶來一定經濟和精神上的損失。 “武林外傳變種ab”(PSWTroj.WulinWZ.ab) 據金山毒霸反病毒工程師介紹,這是一個盜取遊戲玩家帳戶的木馬病毒。
該病毒將其自身複制爲:%system%svvosts.exe並執行。同時,釋放文件%system%mywl.dll,添加特定的啓動項。該病毒在係統中創建一消息鈎子,盜取《熱血江湖》的帳號和密碼並發送到指定網頁,給玩家用戶帶來極大的經濟損失。
“大話西遊變種dh”(Troj.XiYou.dh)
據金山毒霸反病毒工程師介紹, 這是一個盜取網遊“大話西遊2”遊戲帳號的木馬。
該病毒運行後將檢測自身是否在係統目錄下,如果不存在則拷貝其自身到%system%ravysigie.exe並運行。
該病毒捆綁一張遊戲圖片誘騙用戶點擊,病毒一旦開始運行則查找大量反病毒軟件進程將其結束 ;該病毒盜取遊戲帳號和密瑪後連接網絡,並利用自身郵件引擎發送給木馬種植者。
“華夏2變種ao”(PSWTroj.Agent.ao) 據金山毒霸反病毒工程師介紹,這是一個網絡遊戲“華夏2”的盜號木馬。
該病毒將拷貝其自身到C:WINDOWSsystem32insthx.exe,
並在啓動項中添加特定項使其自身隨windows啓動。 病毒除盜取玩家用戶重要信息外嘗試獲取QQ的號碼與密碼 ,並將相關的信息發送到木馬種植者指定的郵箱。
“PswGame變種ap”(Troj.PswGame.ap) 據金山毒霸反病毒工程師介紹,這是一個盜取網絡遊戲帳號信息的木馬。
該病毒運行後拷貝自身到%system%svvost.exe,釋放一個病毒文件到%system%mywl.dll並刪除自身。同時,病毒運行後會加載一dll文件,安裝全局鈎子,
一旦找到指定遊戲窗口則獲取遊戲進程,並將信息提交到指定網址。 盜取者騙術與防範秘籍 第一類:窺視或冒充官方及遊戲管理人員 (1)使用諸如“活動主持人”“獎品發放員”“gamemaster”等與GM相似意寓的名稱或在冒充官方工作人員並以“發送獎品”等種種借口向玩家索要賬號密碼。
(2)制作虛假的網站,冒充官方發布一些虛假新聞以騙取玩家相關賬號資料。
防範秘籍: 1.在公衆場合盡量比較隱蔽、快速的輸入密碼並注意周邊是否有他人窺視。
2.真正的GM不會在任何情況下以任何理由向玩家索要密碼。
3.不要在其它任何非官方的網站中填寫或登陸自己的網遊賬號。
4.如果冒充官方網站的情況,及時向官方舉報。
第二類:使用木馬等黑客軟件或外挂及虛假客戶端程序 (1)通過在用戶計算機中安裝或當用戶浏覽網頁、下載東西時將木馬自動植入用戶的計算機中,此類程序隱蔽性較高,
會將用戶輸入賬號密碼時的鍵盤記錄發送到盜號者手中。更有一些軟件可以監控到用戶計算機的任何動作。 (2)某些程序僞裝爲網遊的客戶端,當玩家使用本程序並輸入賬號信息,此信息將發送至盜號者。
外挂制作者只要在外挂中增加一個程序便可很容易得到使用者的賬號信息 。
防範秘籍: 1.請將IE的INTERNET選項的高級設置爲恢複默認設置。
2.不要安裝和下載一些來曆不明的軟件,特別是一些所謂的外挂程序。
3.不要隨便打開來曆不明信件的附件。
4.安裝最新殺毒軟件,並定時升級病毒庫。
5.小心網吧的計算機上安裝有記錄鍵盤操作的軟件,或被安裝了木馬。使用網吧計算機時,需先按CTRL,ALT,DEL三個鍵,看看是否有來曆不明的程序正在運行,如果有,則立即將該程序結束任務。
6.網吧上網的用戶,最好先掃描一下機器看是否有木馬程序。
帳號被盜該怎麽辦? 1.撥打相關客服電話申請帳號凍結
2.郵件或手機取回密碼
3.解除帳號凍結,重新登陸遊戲
4.虛擬物品角色恢複
不同的網絡遊戲處理方法略有不同,可根據具體遊戲的選擇不同的方式進行帳號追回。
金山毒霸反病毒應急中心及時進行了病毒庫更新,升級毒霸到2006年10月27日的病毒庫即可查殺以上病毒;如未安裝金山毒霸,可以登錄
http://www.d...net/ 免費下載最新版金山毒霸2007 或使用
金山毒霸在線業務 清除該病毒;您撥打金山毒霸7×12小時(8:00-20:00)反病毒急救電話爲010-82331816,金山反病毒專家將爲您提供幫助。
