咔嚓爱猫猫 发表于 2007-9-15 16:20:21

【转NGA】【警惕】血的教训,近期流行WOW专用盗号木马浅析,请耐心看完,一定会有收获 ...

【警惕】血的教训,近期流行WOW专用盗号木马浅析,请耐心看完,一定会有收获


   这种木马的征兆是你玩着游戏忽然WOW整个窗口瞬间消失,如果你再次登录,就会登录到木马生成的伪界面,你所输入的帐号密码和密保会被全部记录,最狠的是,这个时候木马的终端已经登录到9 C的WOW服务器,你输入的密保就是他登录你的号后服务器要求的那3位,在这个时候其实你的真实密码已经被修改了,在你输入完秘保后窗口也就随之消失,等待你的就是无尽的黑暗。。。。 这种木马跟先前的矩阵终结者不同,如果是中了矩阵终结者它会在第一次踢你出游戏后将你的wow.exe文件(原大小为6.77MB)替换成一个几十KB的wow.exe,但是我被盗之后发现wow.exe文件仍然是原大小。这点请大家注意,不是说wow.exe大小没有改动就证明安全。

以上是小弟的亲身经历,我最近在浙江东阳出差,已经一个月没有摸WOW了,昨天夜里忽然大脑进水跑到网吧去想感受一下外域,结果就发生了以上惨剧,帐号从被盗到扒光不到2分钟,期间我以最快的速度找回了密码并登录,已经于事无补,希望大家在这个盗号案件多发的时期做好安全工作。

附上我自己研究的解决方案:
当WOW窗口第一次消失后,这时盗号者很可能已经截取了你的帐号和密码,但是没能获得你的密保,他需要通过你第二次登录到木马生成的伪造界面输入密保来登入你的帐号,当以上情况发生后,找一个朋友,最好不要通过网络了,因为你的机器已经不安全,用电话或短信的形式让他帮你登录官网修改密码,如果这时你的密码已经被盗号者修改,就用找回并修改密码。在这个过程中,只要你不再登录WOW,盗号者是无法破解你的密保进行盗号的。

如果大家看了以上内容能避免意外的发生,那我坐在办公室里敲键盘的这半个小时就有点价值了。

PS:我把仓库压箱底的装备翻出来穿上后还能有400法伤,虽然损失了近2000G,但是不妨碍练级。
有时候这些不愉快的经历能让你的生命更加完整。


补充:转一段对这个木马进行过分析的IT程序员的留言

木马会“会尝试将自身注入explorer.exe、iexplore.exe以及wow.exe进程”,那么危险就不言而喻,在玩游戏的时候,wow.exe在运行,而explorer.exe和iexplore.exe分别是windows的资源管理器和IE,按照这个说法,木马完全有可能检测到你打开了九城的主页,然后输入用户名/密码的过程,所以当你以为修改了密码后很安全而沾沾自喜时,黑手可能已经伸入了你的帐号,而这个过程,你根本就没有运行游戏,这也许是最可怕之处。

这就是为什么我上边提到不要通过同一台机器的网络媒介去让你的朋友帮你修改密码的原因所在

再后来查到金山毒霸网站上对这个木马的描述:

来源:金山毒霸病毒知识库
Win32.Troj.PswWow.a
病毒别名: 处理时间:2006-05-26 威胁级别:★
中文名称: 病毒类型:木马 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个盗取魔兽游戏密码的木马病毒,病毒采用进程注入的方式运行,具有很
高的隐蔽性。
1. 该木马病毒本身是一个动态链接文件,不能自主运行,必须通过木马释放器进行加载。
2. 木马释放器(毒霸可查,Win32.Troj.PswWow.d.212480)将该木马释放并拷贝到系统盘根目录下。命名为main.dat,然后利用explorer.exe、iexplore.exe等系统进程进行加载,将木马拷贝到系统目录下,命名为KB896445.log并利用rundll32.exe将该木马建立为系统服务,在注册表中会留下以下键值:

"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="rundll32 KB896445.log,start"
"DisplayName"="Network Logon"
"ObjectName"="LocalSystem"
"Description"="支持网络上计算机远程登陆事件。如果此服务被停用,网络登陆将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。"
3. 当病毒以系统服务形式运行时,会尝试将自身注入explorer.exe、iexplore.exe以及wow.exe进程。监视用户窗口,窃取游戏相关信息。

希望没有被感染的朋友及时到微软下载这个补丁,未雨绸缪http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx



虽然不能肯定该木马是否存在其它变种,而且目前没有太好的清除方法
但是我会在日后的资料收集中不断跟进更新,希望我做的一切能为大家良好的游戏环境做出些许贡献。

咔嚓爱猫猫 发表于 2007-9-15 16:21:08

:cry1 :cry1

我的号就是死在这种木马下.......大家小心.....

源少 发表于 2007-9-15 16:58:53

....尸体都找不到:mad1 :mad1

天外飞蛙 发表于 2007-9-15 17:05:29

:biggrin1 :biggrin1 :biggrin1 不知道!

国际米兰 发表于 2007-9-15 17:41:10

我也中了这个 木马~~~~
我的瑞星杀;了~~~~~~~

-[繌?瀦]° 发表于 2007-9-15 20:23:30

一个曾经黄锤被搞掉的74飘过....:funk1 :funk1 :funk1 :funk1 暑假时听说现在密保也会被盗- -||||:1shocked1 :1shocked1 :1shocked1
页: [1]
查看完整版本: 【转NGA】【警惕】血的教训,近期流行WOW专用盗号木马浅析,请耐心看完,一定会有收获 ...