網(wǎng)游木馬及其防范技巧

數(shù)碼餃子王

如今國內(nèi)傳奇游戲玩家眾多，網(wǎng)上虛擬裝備交易火爆，一件好的裝備或高級(jí)的賬號(hào)賣出上千塊人民幣已不足為奇，于是大批針對(duì)傳奇游戲的木馬病毒涌現(xiàn)。當(dāng)你運(yùn)行某個(gè)含木馬外掛、或者點(diǎn)擊了陌生人發(fā)來的Email附件，打開惡意網(wǎng)站網(wǎng)頁的時(shí)候，木馬就會(huì)潛入你的電腦，一旦你登陸傳奇游戲，木馬就會(huì)偷偷記錄你鍵入的帳號(hào)密碼，發(fā)送給它的主人，供盜號(hào)者出售獲利。為了幫助玩家遠(yuǎn)離可惡的傳奇木馬，下面我們分篇介紹目前流行的傳奇木馬及其防范方法。
　　當(dāng)前流行的傳奇木馬篇
　　目前專門針對(duì)傳奇游戲的木馬很多，而且不斷出現(xiàn)新變種，這類木馬剛開始偷賬號(hào)密碼，現(xiàn)在已經(jīng)發(fā)展到能阻止殺毒軟件、反木馬軟件的運(yùn)行，其中危害較大的有網(wǎng)吧傳奇殺手、傳奇男孩、傳奇黑面、傳奇盜號(hào)木馬、蜜蜂大盜。
　　1、網(wǎng)吧傳奇殺手(Trojan.PSW.LMir.qh)
　　該木馬破解了傳奇游戲的加密解密算法，專門針對(duì)在網(wǎng)吧玩“傳奇”游戲的用戶。只要有人在網(wǎng)吧中一臺(tái)電腦上運(yùn)行此木馬，整個(gè)網(wǎng)吧全體傳奇玩家的賬號(hào)密碼、裝備等信息就會(huì)被偷走，相當(dāng)恐怖！因?yàn)樵撃抉R會(huì)截取局域網(wǎng)中的數(shù)據(jù)包，分析“傳奇”游戲通訊協(xié)議，從而截獲網(wǎng)吧內(nèi)所有玩家的信息。
　　2、傳奇黑面（Win32.Troj.Mir2HAK）
　　傳奇黑面會(huì)監(jiān)視玩家的輸入，自動(dòng)記錄你鍵入的傳奇賬號(hào)密碼，并發(fā)送到病毒作者的郵箱中，給你帶來經(jīng)濟(jì)損失。該木馬發(fā)作時(shí)會(huì)將自己拷貝到Windows\system32目錄下，木馬及其DLL文件的名稱，與Windows系統(tǒng)程序及其DLL文件非常相似，你稍不注意還以為它們是系統(tǒng)文件，具有很大的欺騙性。
　　3、傳奇男孩(Troj.MirBoy)
　　傳奇男孩是針對(duì)傳奇游戲的木馬病毒，專門偷取用戶的傳奇賬戶與密碼，發(fā)送到黑客指定的郵箱中。該病毒侵入玩家電腦后，會(huì)將自身拷貝到系統(tǒng)目錄，然后在注冊表中修改鍵值，以便系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載；它還會(huì)終止系統(tǒng)中各類反病毒軟件，例如天網(wǎng)防火墻、ZoneAlarm等。
　　4、傳奇盜號(hào)木馬（Win32.Troj.Sincom.e）
　　該木馬運(yùn)行后會(huì)竊取用戶的傳奇賬號(hào)和密碼，并把這些信息發(fā)送給木馬種植者，導(dǎo)致被感染機(jī)器的玩家，在傳奇游戲中的角色完全被他人控制。另外，它還會(huì)關(guān)閉常見的殺毒軟件，防止自己被殺毒軟件清除掉。
　　5、蜜蜂大盜（Win32.Troj.MiFeng70）
　　該木馬偷竊傳奇游戲的密碼，并將密碼發(fā)到指定的信箱。此外，它還能盜竊以下軟件的密碼：QQ、奇跡、千年、紅月、倚天、決戰(zhàn)、大話西游、石器時(shí)代、遺忘傳說、DVAQ。木馬運(yùn)行后會(huì)將自身復(fù)制到系統(tǒng)目錄下，文件名保持不變，在系統(tǒng)安裝目錄中生成isUn0404.exe、isUn0804.exe、isUninst.exe；在注冊表主鍵HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加鍵值"internet"="%SYSTEM%"\%VIRUSNAME%"；對(duì)注冊表主鍵HKLM\SOFTWARE\Classes \xtfile\shell\open\command修改鍵值"默認(rèn)"="%SYSTEM%"\%VIRUSNAME%" "%1"；在C:Autoexec.bat中添加內(nèi)容net stop "Internet Connection Firewall(ICF)/Internet Connection Sharing(ICS)">C:BOOTEX.LOG
　　木馬運(yùn)行后硬盤會(huì)狂運(yùn)作，監(jiān)聽UDP2222端口，監(jiān)視殺毒軟件木馬克星、瑞星、金山等。木馬通過http://ip.loveroot.com/showip.php獲得感染機(jī)器的IP信息，會(huì)到http://freehostwebsamba.com/ryabcdefg/mf6db/index.asp?eve=gip&mailid=檢查是否被注冊。