《電腦報》論壇熱帖最近我一直在玩《魔獸世界》一天突然發現游戲賬號被盜裡面的游戲裝備以及金幣都不翼而飛我在玩游戲時都很小心將賬號和密保卡進行了捆綁的誰能告訴我這到底是怎麼回事呀?為什麼我的密保卡沒有起作用?
這位兄弟碰到的問題也困惑了現在不少《魔獸世界》玩家一款名為酷獅子的木馬讓《魔獸世界》安全的守護神——密保卡失效了
小提示密保卡是一張數字坐標圖型卡每一組數字對應不同的坐標用戶首先需要在賬號通行證進行密保卡的綁定當用戶進入游戲的時候只有輸入正確的矩陣數字才能登入游戲
酷獅子盜號木馬不同於傳統的盜號木馬它直接替換了網絡游戲的客戶端程序而且將木馬程序設置為和網游客戶端一模一樣的圖標並且僅在用戶啟動游戲時才激活木馬程序需要注意的是當殺毒軟件處理該木馬時就會被玩家認為殺毒軟件誤殺了游戲程序
它又是怎麼讓密保卡失效的呢?酷獅子木馬會定時將游戲窗口關閉因此用戶必須多次輸入密保卡坐標系中的密碼這樣坐標系中數字的大致分布就出來了(如果盜取密保卡中%以上的密碼組就可以開始盜號成功率就非常高了)於是黑客就可以利用這張自制的密保卡完成盜號操作
小提示酷獅子盜號木馬還有針對《熱血江湖》《完美世界》《武林外傳》和《誅仙》的變種
酷獅子木馬清除方案
先把酷獅子揪出來
檢查進程
運行安全檢測軟件WSys Check後點擊進程管理標簽我們可以看到多個粉紅色的進程這些進程都被木馬進行了線程插入操作它們的模塊信息中都包括一個可疑的木馬模塊winowdll
查找文件
點擊程序的文件管理標簽後在模擬的資源管理器窗口中按照可疑模塊的路徑指引很快就可以發現了那個可疑的木馬模塊文件與此同時還可以發現一個和模塊文件一起的木馬文件winowexe看來這個盜號木馬是由這兩個文件組成的
再將酷獅子就地正法
現在我們就開始進行清除了在進程管理中首先找到粉紅色進程並選中它們接著選中某個進程裡面包括的winowdll模塊然後通過鼠標右鍵中的卸載模塊命令清除它
再在文件管理標簽中對木馬文件進行直接的強制刪除操作這樣就可以在不重新啟動系統的情形下完成木馬程序的清除操作當然還有一點各位用戶千萬要注意就是網游安裝目錄下還有一個木馬偽裝的客戶端程序我們將它刪除後再找到被木馬隱藏的正常客戶端改為原來的名字後便可以正常進入網游
總結
酷獅子木馬有兩大特點一是采用了直接替換客戶端這種偷梁換柱的方法來達到盜取賬號密碼的目的以前的木馬程序在盜號的時候常常采用的是線程插入技術即將木馬的服務端進程插入到游戲客戶端進程中二是能記錄密保卡的數字從而達到讓密保卡失效的目的這種破解方式會引起魔獸玩家多次掉線如果你在玩《魔獸世界》時有這樣的現象就要小心了要立即展開安全檢查避免賬號被盜
From:http://tw.wingwit.com/Article/os/xtgl/201404/30355.html