光华反病毒软件---网游账号保护技巧
内容速读:
“木马”——使广大玩家们用心血换来的劳动成果在一息间荡然无存的恶魔。我们在痛恨它,唾弃它的同时,必须对它有一定的了解,并掌握一些解决的方法,这样以后在游戏的过程中自己的心血才不会被“木马”摧毁!一个完整的“木马”程序包含了两部分:“服务器端”和“控制器端”。只要程序运行病毒就会频繁的搜索“传奇客户端”试图在用户登陆游戏的时候,取得用户输入的账号、密码、武器装备等,然后发送到指定邮箱。
经常听见有的玩家在游戏里大叫我的密码被盗了!这么恼人的事为啥就发生在咱的身上呢?“木马”——使广大玩家们用心血换来的劳动成果在一息间荡然无存的恶魔。我们在痛恨它,唾弃它的同时,必须对它有一定的了解,并掌握一些解决的方法,这样以后在游戏的过程中自己的心血才不会被“木马”摧毁!一个完整的“木马”程序包含了两部分:“服务器端”和“控制器端”。植入被种者电脑的是“服务器端”部分,而所谓的“黑客”正是利用“控制器端”进入运行了“服务器端”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,肆意查看包括游戏帐号、密码在内的任何东西,个人的安全和隐私当然也就全无保障了!
一.多变的木马
传奇终结者(Trojan.PSW.LMir)感染此木马后,病毒把自身复制到系统目录,命名为“Svchosts.exe”,然后把自身删除,在注册表自启动项 “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionRun ”中添加"Svchosts.exe" : SVCHOSTS.EXE 的键值,使自己能够随系统自动运行,并释放“WinSoft3.DLL”,通过远程线程的方式注入到系统Explorer.exe中。只要程序运行病毒就会频繁的搜索“传奇客户端”试图在用户登陆游戏的时候,取得用户输入的账号、密码、武器装备等,然后发送到指定邮箱。
如今针对网络游戏的木马病毒很多,而且不断出现新变种。这类木马刚开始只是偷账号,现在已经发展到能阻止杀毒软件的运行,“Trojan.PSW.Lmir.pj”同为窃取游戏"传奇"信息的木马病毒。病毒运行后将自己复制到%SYSDIR%目录下,文件名"svch0st_.exe"。 在注册表中增加数据项:"svch0st_.exe" 数据值为:"svch0st_.exe"修改HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon项的:"Shell" 为:"Explorer.exe svch0st_.exe",并结束Symantec AntiVirus 企业版、瑞星杀毒软件、木马克星等反病毒软件和监控软件的进程。释放两个动态库文件:"LSAS.bmp"和"STAK.bmp"。"STAK.bmp"提供了拦截"OpenProcess"API的接口,导致其他进程无法打开"svch0st_.exe"的进程,因此也无法结束"svch0st_.exe"的进程。"LSAS.bmp"用于挂接鼠标和键盘钩子,以窃取游戏"传奇"信息。又如:“Trojan.PSW.Lineage.au”一个采用VC编写窃取游戏"天堂 II"的木马病毒。病毒运行后会将自己复制到%SYSDIR%目录下,名为"d1lhost.exe",修改注册表以下键值,以达到其自启动的目的:SoftwareMicrosoftWindows NTCurrentVersionWindows修改数据项:"Load" 数据值为:"%SYSDIR%D1LHOST.EXE"。创建名为"NOIRRunOnlyOne2"的互斥量,以确保只有一个病毒文件在运行。枚举系统中进程,查找进程名为以下字符串的进程(杀毒软件进程),"findhack.exe"、"RavTimer.exe"、"RavMonD.exe"、"pfw.exe"、 "mailmon.exe"、"eghost.exe"、
"kavpfw.exe"、"iparmor.exe",并将它们结束。查找"Lineage II"窗口,并挂接键盘和鼠标钩子,用于监视并记录用户对"Lineage II"窗口的操作从中窃取游戏"天堂II"的用户名及密码,将窃取的用户名、密码发送到指定的邮箱。
在用户的电脑中安装键盘信息安装程序,这种被称作键盘记录器( KeyLoger )的工具可以记录所有用户的键盘信息。由于当前黑客技术的日益公开化,以至于即使是黑客初学者也可以轻易的获得这些工具。目前,全世界有超过 1500 种这样的工具可以使用。另如:"传奇终结者变种ABM(Trojan.PSW.Lmir.abm)"病毒:该病毒运行后把复制自身到Windows目录,命名为“svch0st_.exe”,把原来的程序文件删除。 释放 lsas.bmp,这是一个dll类型的文件,负责截取用户键盘输。lsas.bmp以资源的方式存在病毒文件中,资源名称为“DllFile”。 修改注册表达到自启动:
“HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon” Shell = "Explorer.exe C:WINNTsvch0st_.exe"修改注册表,使用户无法使用windows下的命令行控制台。病毒使用“My_Mir2_MapFile”作为共享数据区,把取得的游戏玩家的用户名、密码、服务器信息写进去,供病毒主程序使用,发送到指定邮箱。
二.木马查杀预防
所谓“病从口入”感染源还是在于加载了木马程序的服务器端,那么木马是怎样被种入玩家的电脑中的呢?
1.随意下载带有木马的各类图片、小电影等、使用各种非法游戏软件和外挂。
2.随意登陆各类网站,浏览不明网页,点击来历不明的链接。特别是一些玩家轻信游戏中所谓的“朋友”,对于“朋友”发来的各种链接无选择的打开,往往不经意中便被种植了木马。
3.在使用电子邮件、即时通讯工具时通过传播诱导性言语使用户点击带病毒的网址。
知道了木马的种入途径,玩家外了建立良好的安全习惯外,还要安装专业的防毒软件进行实时监控,在此笔者建议使用“光华反病毒软件”它拥有专门查杀木马的木马查杀引擎,内置5万多种最新木马样本,可对内存中的每个进程和计算机端口进行实时监控,既可以查杀已知木马,也可以对付未知木马,我们可以应用光华反病毒软件提供的强大工具来进行木马的查杀预防。如:其“下载监视”功能:当使用网络蚂蚁、网际快车等下载软件下载程序或文本时,光华反病毒软件会自动解除下载文件中携带的病毒,从而封住下载时的木马种入。使用“邮件监视”监测邮件接收外发送也是有效防治木马的方法,从以上的木马病毒分析可以看出,注册表是最容“受伤”的部分,而打开了光华反病毒软件的“注册表监视”后,如果有程序向注册表中关键注册表项添加键值时,将被光华反病毒软件监测到,你可以选择“同意”或“拒绝”此注册表操作。再加上光华反病毒软件独创的插件功能,内置十数种安全插件更是木马的“克星”其中的“屏蔽恶意网站”可以帮助玩家有效屏蔽恶意网站,给计算机上网带来安全保障避免来自含有木马程序网站的侵扰。“隐私保护设置”可以保护信用卡号、QQ、邮箱、游戏账号、电话号码等私密信息,拦截木马、黑客盗取信息向外传输。还能保护关键字内容不被发送到 Internet (其中不包括通过安全加密方式访问的网站)。 “木马搜索”、“端口扫描”就是用于查找这些隐藏的木马文件及系统中的不易觉察的变化,从而封住木马和黑客程序的进出之门。当然这些只是光华反病毒软件诸多工具中的一小部分,还有“邮件过滤设置”、“绿色上网”等就需要玩家朋友们自已去体验了。
其实,最为业界瞩目的是光华反病毒软件最新采用了光华公司首创的全球“Online”技术,把以前的“孤岛”式的单机杀毒产品与当前先进的分布式网络技术结合在一起,让用户购买的不仅仅是一套产品,而是一个以个性化的安全解决方案为核心的网络安全平台,满足用户的各种不同需求。“Online”既是一种抑制病毒传播的技术手段,也是一种用户对防病毒产品使用的方法。作为技术,它的工作原理就是,在互联网上采取跟病毒赛跑的方式,采取主动给用户升级产品的方式,减缓病毒的传播速度,从而最终达到让病毒无法传播、消灭病毒目的,让电脑始终处于一个安全的环境之中。