[转贴]魔兽
世界盗号木马原理揭秘
1. 感染
盗号者一般把盗号木马放在网页上,或者利用网页的JS脚本、ActiveX插件等功能把木马
下载到用户电脑上,强一点的还把木马绑定到图片、动画、
视频里,然后诱骗用户点击。还有就是把木马绑定到一些程序中,尤其是外挂程序。甚至很多外挂程序本身就是盗号木马。 中招的用户,一般是浏览过一些八卦网站,被诱惑点击过某些图片、动画、视频,或者运行过某些来历不明的程序。
2. 潜伏与激活
现在的新型木马会把自身功能模块(或者自身程序代码)写入WINDOWS的系统文件中,例如资源管理器EXPLORER.EXE,声卡、显卡的驱动程序等,就这样潜伏了下来。而且就算是安全模式,一开机木马都会被XP系统加载,比以前的木马通过修改注册表来启动加载高明多了。 木马被加载后就被激活了。现在的新型木马,激活后是没有独立的内存进程的,查看内存进程是看不到它的。那么它躲藏在哪里呢???它把自身注入到正常的系统进程SVCHOST.EXE中去了,XP系统起码有5个SVCHOST.EXE进程,是负责用户上网功能的(不要随便关闭这些进程哦,会上不了网滴),木马随便找个进程都能躲藏进去。本文来自http://bianceng.cn
3. 监视与窃取
木马会监视用户的活动,监视用户电脑内存的特定进程----例如游戏程序的进程(魔兽世界的WOW.EXE),并记录用户在该进程输入的账号、密码等信息。 多数木马会偷偷地主动连接网络和向外发送记录到的信息,但这样容易被某些杀毒软件和防火墙发现。所以有一些设计巧妙的木马它会静静地等,一直等到接到盗号者的指令才会把记录的信息发送出去。 不管怎么样,用户的账号、密码是被盗号者偷到手了。
4. 木马诈骗密保卡
对于绑了密保卡的用户,盗号者偷到了账号、密码还是没用。盗号者会怎么做呢?木马+骗术。 先看骗术,用虚假中奖信息诈骗是常见手段,还有什么打折充值、代练之类,目的是骗用户说出盗号者想要的密保卡随机密码,然后登录上来洗劫,等被踢下线的用户再登录上来,身上已经光溜溜的了(前后不到一分钟)。 再看木马, 以魔兽世界为例,说说盗号者是怎么把绑了密保卡的账号盗取的。 盗号者用盗到的账号、密码登录9C的账号管理中心,改密码,再选择换密保卡。换卡要先输入原密保卡的三组密码。于是盗号者对木马发出指令,这时 密保卡用户会在玩游戏时突然掉线(不关电信和9C的事,是木马搞的鬼),然后出现要求用户输入密保卡上的三组密码的提示,而这个输入密保卡密码的界面是木马程序弄出来的,不是游戏程序的,但是因为弄得跟真的一样,一般用户难分真假,而要求输入的三组密码正是……。 不明底细的用户,稀里糊涂地输入了密保卡密码,结果就是盗号者用他手上的密保卡替换绑定了这个账号,账号彻底易主。 但盗号者是不会亏本的,用密保卡绑定的账号,怎么也值点钱的,不值钱谁会去绑。
如何防盗号?
1、洁身自爱,不要受诱惑点击不明连接,不要访问那些杂七杂八的网站,不使用外挂。
2、杀毒软件+防火墙、密保卡仍然是必不可少,能大大降低你被盗号的机会。
3、提高警惕,以防被骗。现在很多网游都推出了密保卡,要警惕各种骗局,特别是要你密保卡随机密码的
第二种
最近一直出现有玩家抱怨帐号绑定了密码保护卡,但游戏角色仍然被盗的消息. 诚然不可否认这些幕后黑客为盗号做出了杰出的贡献,但同时也为我们敲响了警钟。
至于论坛上有很多玩家茫然而觉得盗取密保是件不可能的事,于此来否认有这一事实,哲学告诉我们事物总是发展的,矛盾是对立的. 有密保反盗号,就有新木马反密保,这是无可争议的事实.所以请NGA客们放下爱喷不信任的架子,绑了密保还被盗虽然没发生在你身上,不代表就没有这个事实.
最近搜索了一下,发现很多卖此类木马的家伙,虽然这个木马已经不是一个新鲜事物了,但是对于一些对电脑防范没
意识的朋友还是要发帖来提醒下,是时候注意了!
该木马叫: 魔兽世界密保克星--矩阵终结者
盗号原理:
魔兽世界的密保卡是一张10*8的数字坐标图型卡,每一组数字对应不同的坐标,而每一张矩阵卡都有自己的ID,当你把密保卡同自己的游戏ID绑定之后,魔兽世界服务器的数据库就会讲绑定的那张密保卡的矩阵数字激活,从而实现当你进入游戏的时候,只有输入正确的矩阵数字才能登入游戏,木马原理很简单,得到进入游戏的帐号,提示输入矩阵数字,当玩家输入正确的矩阵数字之后,木马就会自动记录正确的矩阵数字并使游戏掉线,玩家再次登入游戏,再次输入矩阵数字之后,再将其踢下线,这样周而复始几次之后,整个一组矩阵数字就到手了,之后不用说大家也明白了吧。
单看盗号原理就和一些被盗玩家反映出来的情况很相像.
矩阵终结者分为主服务端和木马端两部分,木马端除了负责记录游戏帐号密码外,最重要的就是协助服务端记录矩阵及密保数字,木马部分不多介绍,这里详细介绍一下服务端的便用方
法:收到游戏帐号和密码后,打开矩阵终结者服务端,输入游戏ID和密码,点击“状态追踪”
这时如果该帐号在线,那么指示灯会变为绿色并显示出帐号部分信息.
然后设置好进行攻击的方式,此版本有两种攻击方式,一种为得到矩阵数字后攻击帐号掉线,另一种为完全输入矩进入游戏之后攻击掉线,大家可以根据自己的需要进行设置,本人建议选用后者,因为这样不容易引起怀疑,当然,大家也可以交互运用,变换着方法攻击,这样更加安全.
选择好攻击方式之后,
power leveling,点击“自动作业”,唯一需做的,就是坐着喝茶喽.
防范措施:
检查你的WoW.exe文件
如果发现该WoW.exe为 26K
那么恭喜 中招
解决方案引用
这个木马运行后症状
windows\会生成一个winow.exe和一个winow.dll 卡巴斯基只能杀dll但不杀winow.exe 需要手动删除。
魔兽世界\wow.exe 原文件大小为6M.会被替换为图标一样,功能一样的26K的木马文件。
立刻将其删除
原WoW.exe被替换为 W0W.exe 0是数字零 为隐藏文件 如果看不到请修改为显示隐藏文件
则可以看到 把它改回WoW.exe即可
但是除此之外 请使用正版杀毒软件扫描系统
目前KAV2007可以发现其在 C:\Documents and Settings\你的系统用户名\Local Settings\Temp\
生成大量傀儡 木马文件 建议把Temp目录彻底删掉
建议确认WOW.exe确已被替换 在用杀毒软件作完一次扫描后 进入安全模式进行上面的操作
如发现文件被锁定 请使用 PowerRmv.com 暴力杀灭王对其进行暴力清除
baidu 找一下就能找到这个程序 没错 后缀是com 不是exe
杀灭时请选中 抑制杀灭对象再生
这样杀灭后该程序会生成只读的同名0字节文件替换掉原有文件
由于该名后WoW.exe依然是隐藏文件 无法在系统下修复 熟悉dos的请自行在dos下移出其隐藏属性
置于不知道怎么做的....那就一直显示隐藏文件 这么先用吧
建议:关键不在于木马怎么杀,而在于大家平时的上网习惯!
养成良好的上网习惯才是最重要的,平时不要上乱七八糟的网站,比如黄色网站,什么来历不明的广告网站等等,QQ上有人经常会叫某某女的视频聊天等等这些全不要上,一上就中镖.经常性地检查系统,查毒杀毒.
经常给Windows系统打补丁,玩WOW的话经常性的修改登陆密码.
不要与他人共用帐号与密保,不要进行虚拟物品的交易,等...
做好这些防范措施,才能真正免疫木马的侵扰!
另外一种盗号方式介绍给大家。
这种方式一般出现在网吧,首先网吧的电脑已经中毒(有种病毒专破还原精灵的)
在你输入完登陆帐号和密码和密保后,你的魔兽世界程序会突然消失,而且电脑不会卡,服务器和网也没有断。就是说没有任何征兆,你在输入完成后,你的魔兽世界那个界面就消失了。
其实你的魔兽世界界面并没有消失,只是远程的木马端下达指令,将你的魔兽世界界面给你“隐藏”起来。然后木马端就把登陆成功的帐号界面转移到木马控制者的电脑上了,这时候木马的控制者就可以自由操纵你的帐号了。
这种木马的运作方式简单来说就是:
你在魔兽世界登陆了帐号,然后魔兽世界画面转移到了盗号者的电脑屏幕上面,然后由盗号者操纵你的角色。
这种的发生方式就是:在电脑完全不卡,服务器完好运行,网络未断开的情况下,你的魔兽世界在成功登陆后,整个界面突然消失,而且一点也不卡。
如果遇到这种情况,应对方法就是立即使用手机锁,强行把角色T下线,
然后换一台电脑就可以了。
这种盗号方式的特点就是:盗号者根本不知道你的帐号 密码 pin码 还有密保,就是等你成功登陆后,把角色控制权转移到他手中,是一种优秀易行的盗号方式,没遇到过的人相当容易中招。
