广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2843 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 金山毒霸防毒实例 网路游戏帐号被盗篇
近日,针对各种网络游戏的病毒频繁出现,给广大游戏玩家带来了不少麻烦。昨天,一位“热血江湖”玩家张先生打电话到 金山 寻求帮助,“我大概晚上7点左右下线,8点左右上线,不到一小时,3万元左右的装备被洗劫一空,当时脑子一片空白,真不知道该如何是好!”类似张先生的遭遇相信在网络游戏的玩家中并不少见,近日,笔者一位朋友的MSN签名就改为“辛辛苦苦三十年,一夜回到解放前,盗号者死光光”的一段文字,虽然有点过激,但足可以看到被盗号玩家内心的气愤与无奈。

  2006年10月27日,金山毒霸全球病毒检测中心发出警告:一种名为“热血江湖变种CK”的病毒正在利用网络进行大肆传播,造成大面积热血江湖玩家帐号密码失窃,专家提示玩家,养成良好的网络使用习惯,遵循网络游戏规则,不要轻易打开陌生文件,以免感染病毒。.

  “热血江湖变种CK ”病毒特征分析:
   1.病毒运行后会释放多个病毒辅助文件,添加系统服务,并隐藏病毒文件和病毒进程,使用户对其查杀产生困难。

  2.病毒会安装全局钩子,监视游戏窗口,在后台记录用户帐号信息。

  3.连接网络,将获得的帐号信息提交到指定的网页。


  病毒行为分析:
   1.释放如下文件到%temp%目录:packet.dll、npf.sys、oprar.exe、wanpacket.dll、7.dll、winrar.sys、_wpcap_.inf,复制npf.sys到%system%drivers目录下,之后生成.bat文件删除%temp%npf.sys和wpcap_.inf。其中,oprar.exe为盗取帐号的主要病毒文件,7.dll,winrar.sys为添加服务、实现隐藏病毒的辅助文件。

  2.添加名为squell1的系统服务,其执行文件路径指向%temp%winrar.sys,hook如下系统函数:NtCreateFile/NtEnumerateKey/NtEnumerateValueKey
/NtQueryDirectoryFile/NtQuerySystemInfomation,实现隐藏病毒进程、注册表项和病毒相关文件等。


  金山毒霸历数近期8大网游病毒
  “魔兽大盗变种pe”(Troj.WOW.pe)
  据金山毒霸反病毒工程师介绍,这是一个盗取魔兽世界游戏帐号的木马。
  它能释放一个DLL文件注入到Explorer.exe进程中,使病毒更隐蔽。病毒运行后,病毒被运行后,会把自己拷贝到下面的地方:C:WindowsSystem32Launcher.exe,并在同一目录下释放 一个名为mywow.dll的文件,该DLL文件也是个病毒

病毒会在注册表中添加一自启动项,使自己能随Windows启动。Launcher.exe运行后,会检查system32下有没有mywow.dll文件,若存在,就把该DLL注入到Explorer.exe进程中运行, 若不存在,就会再释放一个出来注入进程,在Explorer.exe中的病毒文件(mywow.dll)会寻找魔兽世界的游戏窗口,若发现,则从游戏中读取相关的信息,包括游戏玩家的帐号,密码,登录服务器,物品,装备等,并把得到的信息通过网站上传的方式发送给木马种植者,使用户的游戏帐号丢失。

  “传奇大盗变种bt”(Troj.Lmir.bt)
  据金山毒霸反病毒工程师介绍,这是一个能释放出另外两个传奇病毒盗取用户的传奇游戏帐号的传奇木马。

  病毒运行后会释放出两个病毒文件:%window%399952.dll,%window%399952M.BMP,之后完成后会自删除。 病毒会在注册表中添加一自启动项,使病毒能随Windows启动399952M.BMP会把自己插入到conime.exe进程中运行, 使病毒运行时没有产生新的进程,增加了查杀的难度,之后399952M.BMP会调用399952.DLL文件来盗取游戏的帐号与密码,然后把得到的数据通过网站上传的形式发送给木马种植者指定的网站上,使用户的游戏帐号与密码丢失。

  “天堂大盗变种dq”(Troj.Lineage.dq)
  据金山毒霸反病毒工程师介绍,这是一个盗取网络游戏“天堂”的木马病毒。
  该病毒在受感染的系统中释放以下文件:C:WINDOWSDownloadsvhost32.exe,并在C:Windowssystem32wldll.dll路径中释放一个DLL文件; 该病毒还将在注册表自启动项中添加特定项,使其随windows启动。病毒一旦盗取玩家的帐户信息后以邮件方式发送到木马种植者邮箱中,给玩家带来一定经济和精神上的损失。

  “武林外传变种ab”(PSWTroj.WulinWZ.ab)
  据金山毒霸反病毒工程师介绍,这是一个盗取游戏玩家帐户的木马病毒。

  该病毒将其自身复制为:%system%svvosts.exe并执行。同时,释放文件%system%mywl.dll,添加特定的启动项。该病毒在系统中创建一消息钩子,盗取《热血江湖》的帐号和密码并发送到指定网页,给玩家用户带来极大的经济损失。


  “大话西游变种dh”(Troj.XiYou.dh)

  据金山毒霸反病毒工程师介绍, 这是一个盗取网游“大话西游2”游戏帐号的木马。
 
  该病毒运行后将检测自身是否在系统目录下,如果不存在则拷贝其自身到%system%ravysigie.exe并运行。 该病毒捆绑一张游戏图片诱骗用户点击,病毒一旦开始运行则查找大量反病毒软件进程将其结束 ;该病毒盗取游戏帐号和密玛后连接网络,并利用自身邮件引擎发送给木马种植者。

  “华夏2变种ao”(PSWTroj.Agent.ao)
  据金山毒霸反病毒工程师介绍,这是一个网络游戏“华夏2”的盗号木马。
  
  该病毒将拷贝其自身到C:WINDOWSsystem32insthx.exe, 并在启动项中添加特定项使其自身随windows启动。   病毒除盗取玩家用户重要信息外尝试获取QQ的号码与密码 ,并将相关的信息发送到木马种植者指定的邮箱。

  “PswGame变种ap”(Troj.PswGame.ap)
  据金山毒霸反病毒工程师介绍,这是一个盗取网络游戏帐号信息的木马。
  该病毒运行后拷贝自身到%system%svvost.exe,释放一个病毒文件到%system%mywl.dll并删除自身。同时,病毒运行后会加载一dll文件,安装全局钩子, 一旦找到指定游戏窗口则获取游戏进程,并将信息提交到指定网址。  

  盗取者骗术与防范秘籍
  第一类:窥视或冒充官方及游戏管理人员
  (1)使用诸如“活动主持人”“奖品发放员”“gamemaster”等与GM相似意寓的名称或在冒充官方工作人员并以“发送奖品”等种种借口向玩家索要账号密码。
  (2)制作虚假的网站,冒充官方发布一些虚假新闻以骗取玩家相关账号资料。

  防范秘籍:
  1.在公众场合尽量比较隐蔽、快速的输入密码并注意周边是否有他人窥视。
  2.真正的GM不会在任何情况下以任何理由向玩家索要密码。
  3.不要在其它任何非官方的网站中填写或登陆自己的网游账号。
  4.如果冒充官方网站的情况,及时向官方举报。
  第二类:使用木马等黑客软件或外挂及虚假客户端程序
  (1)通过在用户计算机中安装或当用户浏览网页、下载东西时将木马自动植入用户的计算机中,此类程序隐蔽性较高, 会将用户输入账号密码时的键盘记录发送到盗号者手中。更有一些软件可以监控到用户计算机的任何动作。
  (2)某些程序伪装为网游的客户端,当玩家使用本程序并输入账号信息,此信息将发送至盗号者。 外挂制作者只要在外挂中增加一个程序便可很容易得到使用者的账号信息

  防范秘籍:
 
  1.请将IE的INTERNET选项的高级设置为恢复默认设置。
  2.不要安装和下载一些来历不明的软件,特别是一些所谓的外挂程序。
  3.不要随便打开来历不明信件的附件。
  4.安装最新杀毒软件,并定时升级病毒库。
  5.小心网吧的计算机上安装有记录键盘操作的软件,或被安装了木马。使用网吧计算机时,需先按CTRL,ALT,DEL三个键,看看是否有来历不明的程序正在运行,如果有,则立即将该程序结束任务。
  6.网吧上网的用户,最好先扫描一下机器看是否有木马程序。

  帐号被盗该怎么办?
  1.拨打相关客服电话申请帐号冻结
  2.邮件或手机取回密码
  3.解除帐号冻结,重新登陆游戏
  4.虚拟物品角色恢复
  不同的网络游戏处理方法略有不同,可根据具体游戏的选择不同的方式进行帐号追回。

   金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2006年10月27日的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录 http://www.d...net/ 免费下载最新版金山毒霸2007 或使用 金山毒霸在线业务 清除该病毒;您拨打金山毒霸7×12小时(8:00-20:00)反病毒急救电话为010-82331816,金山反病毒专家将为您提供帮助。


[ 此文章被upside在2006-11-26 14:01重新编辑 ]



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾 | Posted:2006-11-26 13:53 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

辛辛苦苦三十年,一夜回到解放前,盗号者死光光

这句话说的真好 不过这是大陆用语
我们台湾要有台湾的说法 如:

辛辛苦苦三十年,一夜回到光复前,盗帐号全死光光


爸爸 你一路好走
献花 x0 回到顶端 [1 楼] From:台湾 | Posted:2006-11-26 14:10 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.054662 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言