目前,網游盜號現象愈演愈烈,網游玩家整天提心吊膽,怕哪天盜號盜到自己的頭上。難道一味地防守就能夠保住我們的號嗎?不行,我們要防守反擊,給盜號者當頭棒喝,運用法律手段保護自己的權益。本期,來自四川的劉勇,將告訴我們,他是如何來防范盜號木馬並找出盜號者的信箱的。www.sq120.com推薦文章
使用系統:Windows XP SP1
一直以來我都非常注意個人電腦的安全防范,暗自慶幸自己的網游賬號沒有被黑客盜取。可是好景不長,前些時候我的賬戶就不幸被盜,當我將賬戶找回後,發現自己的網游人物已經被剝了個“精光”。
更為可惡的是,在游戲賬戶丟失的同時,我的QQ密碼、信箱密碼也幾乎同時被盜。我心裡明白,自己的系統一定是中了木馬程序,而且還不是一個普通的木馬程序,因為一般的木馬程序都只能盜取一種程序的密碼,看來這個木馬程序一定“不簡單”啊!
尋找蛛絲馬跡逮住木馬“尾巴”
首先打開注冊表管理器,在其中的Run啟動項中發現了可疑程序的啟動項,鍵值名稱為“getpsw”,關聯的程序為“C:\WINNT\system32\qijian.exe”。
我們知道,所有的惡意程序都會通過各種各樣的方式進行程序的隨機啟動,而通過注冊表的Run啟動項是其中最常被病毒、木馬、盜號工具利用的。從這些可疑的名稱中我們就可以得知,這個程序是獲取密碼的意思。Tw.WINgWit.cOM
接著來到系統的system32目錄下,我們都知道system32目錄一般是用於存放系統重要文件的地方。黑客正是利用了我們這些普通用戶不熟悉系統目錄和系統文件,不敢輕易對系統目錄和文件進行操作的情況,將惡意程序安裝到system32目錄中,進而迷惑用戶使之以為這些都是系統的必要文件。
其實我們只要通過對惡意文件的創建日期進行查看和對比,就可以找出很多的可疑之處。我通過對“getpsw.exe”文件的屬性進行查看後發現,“getpsw.exe”這個文件的創建日期為2006年,而我的Windows系統的大多數系統文件的創建日期在2001年,看來這個文件越來越可疑了。
為了查找其他可能和“getpsw.exe”相關聯的文件,首先記錄下“getpsw.exe”文件的創建日期,點擊“開始”菜單中“搜索”中的“文件或文件夾”命令,在彈出的搜索窗口點擊“所有文件或文件夾”選項,然後通過指定日期來進行查找。果然很快又查找到兩個和getpsw.exe同樣日期的文件,名稱分別為psw.dll和psw.bpl。
打開任務管理器,經過認真的查看後,並沒有發現可疑的進程,看來該木馬使用了線程插入技術。馬上又運行木馬輔助查找器,點擊其中的“進程監控”標簽,很快就在資源管理器的進程Explorer.exe中發現了可疑的“psw.dll”。
猛追狠打,斬草除根
現在我打算開始清除操作,首先到注冊表的Run啟動項中刪除getpsw這個啟動項,然後來到系統的system32目錄找到getpsw.exe、psw.dll、psw.bpl這三個文件進行刪除,由於psw.dll正在被使用,所以暫時不能被刪除。
馬上重新啟動系統,再對psw.dll這個文件進行刪除即可。接著再對系統的進程、啟動項、系統目錄進行檢查,沒有發現可疑文件的蹤跡,確定已經將惡意程序成功地清除了。
雖然已經成功地清除惡意程序,但還沒有完,我打算將這個盜號的黑手找出來。由於文件已經清除,所以想通過嗅探抓包分析是不可能了,不過通過十六進制工具對程序進行分析也可以。
運行Ultra Edit載入getpsw.exe,由於一般的惡意程序都是將獲取的信息發送到指定的信箱或網址,所以搜索“.net”這個關鍵詞,很快就得到了盜號者的信箱,但是沒有獲得信箱的用戶名和密碼。同時也得到了另一個信箱“max@juntuan.net”,看樣子很熟悉,好像是黑客組織“第八軍團”的信箱。馬上登錄他們的網站,果然在“軍團作品”中發現了一個名為“軍團偵察員”的盜號工具。
劉勇朋友輕易地將這款名為“軍團偵察員”的盜號木馬清除,可見他對如何清除類似木馬有相當的經驗。
同時,我們通過該木馬程序的特點,比如截取多種程序的密碼;通過采用DNS查詢MX郵件服務器技術,成功繞開SMTP服務器認證,實現密碼文件特快直達目標郵箱;可以看到未來盜號工具的一些雛形。
雖然該木馬程序使用了線程插入技術,但是仍然可以看出該程序在隱蔽性方面的脆弱。另外阿良提醒大家,在獲得盜號者的信箱後,我們可以通過法律手段來保護自己的權益,因為目前國家已經有明確的立法,將非法盜取別人虛擬財產作為偷盜罪的一種。
From:http://tw.wingwit.com/Article/Network/201309/515.html