盜號木馬

發展

盜號木馬

經常看到有用戶說，在輸入自己帳號與密碼後提示密碼錯誤，那么八九不離十就是中了盜號木馬了，其實這種木馬是最早期的盜號木馬程式。05年後已經很少有編木馬程式的程式設計師，還按照這種監聽鍵盤記錄的思路去編寫木馬程式。更高級的盜號木馬程式已經發展到通過記憶體提取數據來獲得用戶的帳號和密碼。

不管任何一款程式，它都是有他所特有的數據的（包括用戶的帳號、密碼，等級裝備資料等等）。這些數據都是會通過本機與遊戲伺服器取得了驗證以後，用戶的角色資料才會出現在用戶的面前。而這些數據在運行的時候都是存放在計算機的記憶體裡面的。木馬作者只需要在自己的程式裡面加入條件語句就可以取得用戶真實的遊戲帳號、密碼、角色等級等等。這種編程語句的大概意思應該是：當遊戲進程進入到讓用戶選擇角色的時候再從記憶體中提取最後一次的帳號、密碼、角色等級等資料。

入侵方式

盜號木馬

1、有很多圖片木馬，EML和EXE木馬，其中的圖片木馬其實很簡單，就是把木馬exe檔案的檔案頭換成bmp檔案的檔案頭，然後欺騙IE瀏覽器自動打開該檔案，然後利用網頁里的一段JAVAscript小程式調用DEBUG把臨時檔案里的bmp檔案還原成木馬exe檔案並拷貝到啟動項里。接下來的事情很簡單，下次啟動電腦的時候就是噩夢的開始了，EML木馬更是傳播方便，把木馬檔案偽裝成audio/x-wav聲音檔案，這樣接收到這封郵件的時候只要瀏覽一下，不需要點任何連線，windows就會代勞自動播放這個他認為是wav的音樂檔案，木馬就這樣輕鬆的進入電腦。

2、把木馬exe編譯到.JS檔案里，然後在網頁里調用，同樣也可以無聲無息的入侵電腦，這只是些簡單的辦法，還有遠程控制和共享等等漏洞可以鑽。

3、通過QQ，例如想盜遊戲中指定人物的帳號，首先和他聊2句知道他QQ多少，然後通過QQ傳送木馬給他！QQ可分為：直接傳送檔案，網路硬碟共享，網頁木馬

盜號木馬

4、通過郵件，把木馬做為郵件的附屬檔案傳送出去！收信人只要打開附屬檔案系統就會感染木馬！

5、捆綁法，把木馬和正常的程式捆綁在一起，在有人運行表面正常程式的同時，木馬也就運行了.....這個捆綁的程式可以是：圖片，電影，音樂，遊戲外掛等等等

6、把木馬在網咖電腦上雙擊下後，即可！對於網咖的還原精靈，在輔助工具一欄有還原精靈轉存軟體可破解此限制！

7、木馬和QQ尾巴這樣的病毒綁定在一起，這樣傳播速度非常快的！

8、最強的木馬傳播方法：網頁木馬！有人如果點了掛有木馬的網址就會自動從伺服器上載入木馬！一般的下載速度是50K/秒，而木馬卻只有16K的大小，也就是說只要有人點下網址就瞬間中下木馬！

十大種類

金山毒霸全球反病毒監測中心公布2007年上半年十大網路遊戲盜號木馬：

魔獸大盜

盜號木馬

“魔獸大盜”變種QZZ

該病毒是“魔獸大盜”的惡意改造版，它跟之前的惡意行為相似，會潛伏在電腦系統里，伺機注入到網路遊戲“魔獸世界”進程中，盜取用戶的遊戲帳號，密碼和裝備等有效信息，並將其傳送給木馬種植者。造成用戶的虛擬財產的損失。

該病毒運行後，會釋放isignup.dll等病毒檔案，修改註冊表，實現隨開機自動啟動。此外，它還具備自刪除的功能。

征途大盜

“征途大盜”變種SA

該病毒的惡意行為跟之前“征途大盜”相似，都是針對網路遊戲“征途”而來的，它會潛伏在受感染電腦的系統里，伺機注入到遊戲“征途”的進程里，截取用戶的QQ帳號和密碼信息，將竊取的有效信息傳送給木馬種植者，造成用戶網路虛擬財產的損失。

該病毒運行後，會釋放npkcrypt.vxd和ztconfig.ini等多個病毒檔案，添加一個名字為LoginService的病毒服務，查找“征途”的客戶端視窗zhengtu_client，將竊取的帳號信息和密碼並傳送出去。

傳奇大盜

“傳奇大盜”變種WXX

該病毒是“傳奇大盜”的惡意改造版，跟之前的版本的惡意行為相似，它會潛伏在電腦系統里，伺機獲取網路遊戲的用戶登錄視窗，並記錄用戶的鍵盤和滑鼠的操作，將竊取的信息傳送給木馬種植者，造成用戶的虛擬財產的損失。

該病毒運行後，會釋放一個ptool32.exe病毒檔案，修改註冊表，實現隨開機自動啟動。關閉KVXP_Monitor和木馬防火牆等多個安全軟體的防毒視窗。

西遊大盜

“西遊大盜”

盜號木馬

該病毒是跟一般的盜號木馬行為相似，它會潛伏在受感染電腦中，伺機注入到網路遊戲“大話西遊”的游

戲進程，創建信息勾子獲取遊戲帳號和密碼，並將竊取的信息傳送給木馬種植者。造成用戶的虛擬財產的損失。

該病毒運行後，會釋放dh2103.dll病毒檔案，修改註冊表，實現隨開機自動啟動。自動查找WSWINDOW視窗，盜取有效信息，並將其發到惡意站點

誅仙竊賊

“誅仙竊賊”

該病毒是一個網路遊戲的盜號賊，它跟一般盜號木馬相似，它會伺機注入到網路遊戲“誅仙”進程里，通過讀取進程記憶體的方式，獲取遊戲帳號和密碼，並將其傳送給木馬種植者，造成用戶的虛擬財產的損失。

該病毒運行後，會釋放kulionzx.exe和kulionzx.dll病毒檔案，修改註冊表，實現隨開機自動啟動，盜取有效信息。

完美世界竊賊

“完美世界竊賊”變種LC

該病毒會偽裝成受感染電腦中的系統進程，監視網路遊戲“完美世界”的遊戲進程，創建信息勾子，盜取遊戲的帳號和密碼、金錢等有效信息，並將其傳送給木馬種植者。造成用戶的虛擬財產的損失。

該病毒運行後，會將自身複製到winlog0n.exe系統進程里，修改註冊表，實現隨開機自動啟動。搜尋並獲取完美世界的ElementClient.exe遊戲進程，達到盜號的目的。

天龍神偷

“天龍神偷”變種E

該病毒是一個新的網路遊戲盜號賊，它跟一般盜號木馬的惡意行為相似，會潛伏在電腦系統里，監視網路遊戲“天龍八部”的用戶登錄視窗，記錄遊戲帳號和密碼等有效信息，並將竊取的信息傳送給木馬種植者，造成用戶的虛擬財產的損失。

該病毒運行後，會釋放多個病毒檔案，修改註冊表，竊取遊戲帳號和密碼。

夢幻西遊大盜

“夢幻西遊大盜”變種IU

該病毒跟一般盜號木馬病毒的惡意行為相似，它會伺機注入到網路遊戲“夢幻西遊”的遊戲進程里，同時創建信息鉤子，獲取用戶的帳號和密碼等有效信息，並將竊取的信息傳送到木馬種植者指定的惡意站點，造成用戶的虛擬財產的損失。

該病毒運行後，會釋放nmhxy.exe和nmhxy.dll兩個病毒檔案，搜尋並注入該遊戲進程my.exe，獲取相關的有效信息，然後，將信息傳送到惡意站點。

檢查

盜號木馬

點開始-運行，輸入：msconfig回車就會打開系統配置實用程式，先點system.ini，看看shell=檔案名稱，正確的檔案名稱應該是explorer.exe。

如果explorer.exe後邊還跟有別的程式的話，就要好好檢查這個程式了，然後點win.ini“run=”和“load=”是可能載入“木馬”程式的途徑。一般情況下，它們的等號後面什麼都沒有，如果發現後面跟有路徑與檔案名稱不是熟悉的啟動檔案，計算機就可能中上“木馬”了。當然這也得看清楚，因為如“AOL木馬”，它把自身偽裝成command.exe檔案，如果不注意可能不會發現它不是真正的系統啟動檔案。

最後點“啟動”，檢查裡面的啟動項是不是有不熟悉的，如果實在不清楚的話可以把他們全部取消，然後重新運行msconfig，看一下有沒有取消的啟動項重新被選中的，一般木馬都會存在於記憶體中，（就是執行緒插入，然後隱藏進程的木馬，DLL無進程木馬就不會駐留在記憶體裡面）所以發現取消他的啟動項就會自動添加上的，然後就可以逐步添上輸入法，音量控制，防火牆等軟體的啟動項了。

還有一類木馬，他是關聯註冊表的檔案打開方式的，一般木馬經常關聯.exe，點開始-運行，輸入：regedit回車，打開註冊表編輯器，點第一條，也就是HKEY_CLASSES_*OT，找到exefile，看一下\exefile\shell\open\command裡面的默認鍵值是不是%1%*。如果是一個程式路徑的話就一定是中木馬了，另外配合兩種以上的防毒軟體也是必要的，另外在windows下木馬一般很難清除，最後重新啟動到dos環境下再進行查殺。

防治方法

盜號木馬

開始-設定-控制面版-添加刪除程式-windows安裝程式-把附屬檔案里的windowsscriptinghost去掉，然後打開InternetExplorer瀏覽器，點工具-Internet選項-安全-自定義級別，把裡面的腳本的3個選項全部禁用，然後把“在中載入程式和檔案”禁用。

這只是簡單的防治方法，可能影響一些網頁的動態java效果，這樣還可以預防一些惡意的網頁炸彈和病毒，如果條件允許的話可以加裝防火牆，再到微軟的網站打些補丁。

網咖用的都是原始安裝的windows，很不安全，儘量少在一些小網站下載一些程式，尤其是一些號稱黑客工具的軟體，小心盜不著別人自己先被盜了。

不要以為裝了還原精靈就很安全，一般網咖的還原精靈都只還原C：盤即系統區，所以只要木馬直接感染安裝在別的盤裡的遊戲執行檔案，照樣逃不掉的。

反盜措施

盜號木馬

1、設定角色密碼（可結合密碼保護卡）。

2、設定背包密碼，背包分二部分（G也分2部份，1大額，1小額），一部分需要密碼（可以放重要的財產），一部分不要密碼（放置常用物品），可結合密保卡。

3、裝備欄設定密碼保護卡，上線後需要輸入密保卡解除裝備欄的密報卡數，才能使用技能 ，如果不解除綁定，不能使用技能並且無法交易。

4、倉庫通過密碼打開後，與背包相同。

5、設定退出密碼，輸入退出密碼正常才能下線，非正常下線5分內不能登入。

6、設定下次登入地點，玩家下線時可以選者下次登入的IP段（以市為單位，不在IP段裡面的IP，不能登入）。

7、計算機綁定，對於有計算機的玩家可以綁定CPU編號，這點某些防毒軟體有這個技術，你們估計也有這技術。

8、上述六點可結合密碼保護卡，並且可以設定多張密碼保護卡，登入界面一張密碼保護卡，角色界面一張密碼保護卡，背包一張密碼保護卡，倉庫一張密碼保護卡，退出登錄一張密碼保護卡。補充：密保卡可隨自己意願綁定，但是追號大於等於2，背包，倉庫等可以用同1張密保卡（最好不和登入用同1張），關於手機密保可改為，登入時不需打手機，登入後所有物品全部無法交易出售，無法發言，在登入後打手機才可解除，可防止手機密保在登入界面被木馬利用。

9、加強遊戲本身防木馬能力。可以和防毒軟體公司合作設定一款專門用於魔獸的防毒軟體。

10、加入網咖IP段保護。

11、這需要網遊公司對現有密碼系統升級。

密保卡解綁

密保卡解綁過程：

登入的時候通過木馬盜取玩家的密碼，並且用盜取的密碼進入密碼保護卡解除綁定的網頁頁面，在通過木馬把玩家登入時候的三個密碼保護卡數換成密碼保護卡解綁需要的三個數，1次就能騙到密碼保護卡解除綁定需要的三個數了，再解除綁定，玩家的帳號就跟沒密碼保護卡一樣。電話密碼保護也一樣，玩家打了電話，然後登入的時候通過木馬讓玩家不能連線伺服器並盜取玩家的密碼，然後盜取賬號者就2分內可以上去了盜取玩家財產。

計算機術語4