《電腦報》論壇熱帖:最近我一直在玩《魔獸世界》,一天突然發現游戲賬號被盜,裡面的游戲裝備以及金幣都不翼而飛。我在玩游戲時都很小心,將賬號和密保卡進行了捆綁的。誰能告訴我,這到底是怎麼回事呀?為什麼我的密保卡沒有起作用?
這位兄弟碰到的問題,也困惑了現在不少《魔獸世界》玩家。一款名為酷獅子的木馬,讓《魔獸世界》安全的“守護神”——密保卡失效了。
小提示:密保卡是一張數字坐標圖型卡,每一組數字對應不同的坐標。用戶首先需要在賬號通行證進行密保卡的綁定,當用戶進入游戲的時候只有輸入正確的矩陣數字才能登入游戲。
酷獅子盜號木馬不同於傳統的盜號木馬,它直接替換了網絡游戲的客戶端程序,而且將木馬程序設置為和網游客戶端一模一樣的圖標,並且僅在用戶啟動游戲時才激活木馬程序。需要注意的是,當殺毒軟件處理該木馬時,就會被玩家認為殺毒軟件“誤殺”了游戲程序。
它又是怎麼讓密保卡失效的呢?酷獅子木馬會定時將游戲窗口關閉,因此用戶必須多次輸入密保卡坐標系中的密碼,這樣坐標系中數字的大致分布就出來了(如果盜取密保卡中60%以上的密碼組,就可以開始盜號,成功率就非常高了),於是黑客就可以利用這張自制的“密保卡”完成盜號操作。
小提示:酷獅子盜號木馬還有針對《熱血江湖》、《完美世界》、《武林外傳》和《誅仙》的變種。tW.WinGWIt.CoM
酷獅子木馬清除方案
先把酷獅子揪出來
1.檢查進程
運行安全檢測軟件WSys Check後點擊“進程管理”標簽,我們可以看到多個粉紅色的進程,這些進程都被木馬進行了線程插入操作。它們的模塊信息中都包括一個可疑的木馬模塊winow.dll。
2.查找文件
點擊程序的“文件管理”標簽後,在模擬的資源管理器窗口中,按照可疑模塊的路徑指引,很快就可以發現了那個可疑的木馬模塊文件,與此同時還可以發現一個和模塊文件一起的木馬文件winow.exe。看來這個盜號木馬是由這兩個文件組成的。
再將酷獅子就地正法
現在我們就開始進行清除了。在“進程管理”中首先找到粉紅色進程並選中它們,接著選中某個進程裡面包括的winow.dll模塊,然後通過鼠標右鍵中的“卸載模塊”命令清除它。
再在“文件管理”標簽中對木馬文件進行直接的強制刪除操作,這樣就可以在不重新啟動系統的情形下完成木馬程序的清除操作。當然還有一點各位用戶千萬要注意,就是網游安裝目錄下還有一個木馬偽裝的客戶端程序,我們將它刪除後再找到被木馬隱藏的正常客戶端,改為原來的名字後便可以正常進入網游。
總結
酷獅子木馬有兩大特點:一是采用了直接替換客戶端這種“偷梁換柱”的方法,來達到盜取賬號密碼的目的。以前的木馬程序在盜號的時候,常常采用的是線程插入技術,即將木馬的服務端進程插入到游戲客戶端進程中。二是能記錄密保卡的數字,從而達到讓密保卡失效的目的。這種破解方式會引起魔獸玩家多次掉線,如果你在玩《魔獸世界》時有這樣的現象就要小心了,要立即展開安全檢查,避免賬號被盜。
From:http://tw.wingwit.com/Article/Network/201309/398.html