开篇小侃
' }7 F2 h! K" S& q8 ?9 q% H* i: D1 d; p8 b7 d! Y9 k) `$ q( y
首先我要从使用者习惯来谈谈线上游戏盗帐号问题,我首要点出的就是玩家使用电脑和网络的不良习惯,加上偏差的游戏心态,以及基本防护观念不足所导致的问题占大多数,使用者问题占了七成,其次三成才是资料库和游戏官网问题。) |1 o/ ?* u/ ^1 l' i$ X
) N4 @1 d X. B
这次来看一些木马程序下手的方式,当然先扣除游戏公司资料库被盗的部分,单纯来谈使用者,线上游戏使用者应该如何改变使用电脑的习惯,来避免木马屠城记。5 \* s7 |, J2 W8 C5 ?1 O
提问:"我没有上其他网站,电脑只有玩游戏,还是被盗了"7 n" |1 \5 E$ F' d$ U! A
" p! Z! y, o) f- s很久很久以前(久到我自己都忘记到底是多久远之前了),我有下载过BT主程式,接著安装完之后我发现,需要把安全性调降才可以解压缩,这是一件很危险的事情,于是我就不用这东西,最后直接移除掉,到现在我都只用单一对点的FTP找东西。
$ I# i# r" H2 M' m/ m; }7 W$ ^: K* D
7 D; x8 x8 O2 \2 w! q6 W% D6 L很多线上游戏的使用者,装了卡巴后,以为定时用一些扫程式软体,例如Ad-aware、Spy sweeper再加上认为防毒软件开了,然后上网到处去晃以为从此可以安然无恙,如果大家知道卡巴的脆弱,你就不会去乱开网页了。
+ b' M- L ?* u+ K/ p# m: d: C' P1 h* D
有很多玩家会在讨论区哭诉说,他的电脑只玩GAME,结果帐号还是被盗,当然我是不相信谁的电脑只有纯粹玩游戏,而不去做其他事情,基本上这是不太可能的。好吧,如果是真的只玩游戏,那我要告诉你,只要接上网络就有危险性。9 x9 H( K1 F- u1 \7 F* G" ~
8 w) R( E5 y& C* [* s, N( z
3 t. j' v& M1 V. ^提问:"我有装卡巴斯基了,怎还是被盗?"- i0 Z n+ B7 _3 C
6 J4 u/ q$ W& p B+ t: @- R
: @2 x3 r* n/ f
线上游戏的玩家先了解一些基本概念。
8 l3 X( ~! z' ^* g' R E" _& L8 C4 {# {3 H
所谓防毒或扫木马,一定要有木马或病毒程式样本送给软件公司检测,才能够被解出防护的方法,然后放病毒码给使用者更新防护,现在有很多专攻线上游戏帐密的木马程式是扫不出来的,这些有的是专门针对些游戏下手的,然后可能从某些网站或图档、连结等被注入到你的电脑,产生作用后即会自解消灭或变种,如果你不是有些经验,根本就找不到任何线索来追查,更别说把问题程式抓出来送给人家去检测了,目前市面上有太多外挂,不管付费还是免费,内藏的木马几乎都是扫不出来的。
* u$ ~3 x& p! x& }4 K% I4 r; o0 C4 i7 @$ ~
别把卡巴斯基和扫木马软体当成是铁打神盾,如果你了解木马针对线上游戏玩家的攻击与运作,你会觉得卡巴斯基真的是一片薄纸,它只能挡住已知、被发现的病毒程式。骇客也知道种这些旧木马会被KAV拦下来,人家当然重新会去撰写新的程式来下手,这些新的木马程式是扫毒抓不出来的。/ r8 l# Z6 ]( R, U. ~3 M8 W- C0 v
0 @* w: x7 x9 P; `4 y5 @
! T4 m" _- {4 {" q: w3 ]" H病毒程式必须被送到防毒软体公司检测过,并制造出防护的病毒码,还得让使用者下载更新后,未来你才有机会扫到有问题的程式,并不是只要装卡巴,就可以扫到问题,请一些没有基本防护观念的玩家要好好了解。不要把扫毒扫木马软件当守护神膜拜。0 f7 D5 n* g! M' n
本人电脑在前几天杀毒中发现了一个病毒。特此向大家公告一下。。由于是公司网络。这个病毒没有机会成长。。如果你用了U盘或任何移动工具。。也是一样会传播的。。请大家注意.还有就是就算你格式化了C系统盘这个东东还是存在的。。。 各位先看一下你们的隐藏文件能不能显示出来。。如果不能显示了。。有可能就是中招了 ~& q" [/ p5 c) {
, q" H% Z2 K- B
“落雪”木马病毒4 f- C p' Y' H Y- ?' H G
) Z) l" ~& o5 ]' u/ ]2 z1 f/ I
近期,反病毒中心陆续接到网络游戏玩家报告,他们正在使用的网络游戏帐号莫名被盗,而且电脑中正在使用的杀毒软件也突然异常终止工作。据游戏玩家反映,多款品牌的杀毒软件都存在被异常终止的现象,而重新启动杀毒软件杀毒后,病毒仍然会出现,屡杀不绝。' \, g& A. a! g7 j7 C9 b& F
5 ?, x& |# N P% R( V8 A 接到用户举报后,反病毒中心立即对用户上报的可疑文件样本进行分析,经分析,导致网络游戏玩家帐号被盗的原因是电脑感染了一名为“落雪”的木马病毒。“落雪”木马可以盗取包括魔兽世界、传奇世界、征途、梦幻西游、边锋游戏在内的多款网络游戏的帐号和密码,对网络游戏玩家的游戏装备构成了极大的威胁。
+ z f& x/ V/ o8 c$ t/ a$ g
0 W( B* e2 S" {1 I “落雪”木马也叫“游戏大盗”( Trojan/PSW.GamePass),由VB 程序语言编写,通过 nSPack 3.1 加壳处理(即通常所说的“北斗壳”North Star),该木马文件图标一般是红色的图案,伪装成网络游戏的登陆器。
+ T. Y! b% {. E) P( i' g* y! t# K* o0 B% {: v- r% r
病毒运行后,在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件,病毒文件之多比较少见,,事实上这14个不同文件名的病毒文件系同一种文件,“落雪”之名亦可能由此而来。病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了 .com。江民反病毒工程师分析,这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性,这样,当用户调用系统配置文件Msconfig.exe的时候,一般习惯上输入 Msconfig,而这是执行的并不是微软的Msconfig.exe程序,而是病毒文件 Msconfig.com ,病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有,病毒还创建一名为winlogon.exe的进程,并把 winlogon.exe 的路径指向c:\windows\winlogon.exe,而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe,以此达到迷惑用户的目的。4 I( ^) ?& L( u- L+ n* o
. X v: s! Y6 R w$ }: m0 }8 [
反病毒工程师介绍,除了在C盘下生成很多病毒文件外,病毒还修改注册表文件关联,每当用户点击html文件时,都会运行病毒。此外,病毒还在D盘下生成一个自动运行批处理文件,这样即使C盘目录下的病毒文件被清除,当用户打开D盘时,病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。
0 O0 G4 b8 F+ ?* u9 `请改变你使用电脑的习惯
更新微软漏洞(Windows updata)
" F" P" e- ]8 Y/ k* T" h& M没更新漏洞被盗风险:★★★★★★(最高六星)# v7 P, D$ ^6 v3 ]; e$ K
5 E6 z# |$ x! Y" u- y V这是最重要的工作,任何的防护在没有更新漏洞的微软OS系统下,都形同废物,很多人懒得做Windows updata,或是用盗版XP无法执行更新,于是就因噎废食,认为自己没那么倒楣,不喜欢更新漏洞的,好死不死你大概就是下一个等着被偷装备的人。就算你电脑真的只有在玩线上游戏,不做其他事情,你漏洞还是要更新! C4 x$ e) R- r+ p+ L$ a
! K: w0 M, O0 J* O( Q; t
漏洞的更新就好比银行的金库,你设了再多了锁,打造了再多再厚的墙壁,结果后面被开了一个洞,钱一样会被盗走,微软的漏洞其多无比,就算盗版你也要想办法把漏洞更新完整,只要你有用网络,这些都是基本功夫,一定要做好。' X8 [2 ]3 d0 H, Z# F
9 E/ a& P9 P- J! k1 M
( q2 Y! b8 P+ m* }1 S k" E帐号登入方式改变
3 `7 U1 ?3 \" |" y3 ^: c; ]/ X重要性:★★★★
# D/ c* c& R) o p: d! c% U2 ^# l2 l9 a
对自己安全防护没有自信的,最基本要从帐号密码登入的方式来改变,不要照单乖乖的在登入画面输入你的帐密,改成使用不定点的输入方式来keyin帐号密码。举例来说,假设你的帐号是abc123,这时候输入的方式就要改成abc23,然后再把滑鼠点到2前面的空格,把1输入进去,如果密码不长,也可以用这样的方式来输入,如此假设很不幸的你中了木马,对方收到你的帐号资料,出现将会是abc231,而不会是abc123,这种输入方式可以防大部分的泄露,这是免费而且最好用的方式。
- ^2 D* n- v" \% E m* t$ s# e/ j$ }
7 |& u4 v; d6 t. o' |6 ?% r5 F& [# C; ^: h( V
小心通讯软体突然其来的连结
2 S8 S$ R1 K) q1 C Y重要性:★★★
& N4 ]/ a- K4 E" O) j* E- \7 J- J5 P8 E, M* H; K
MSN和QQ这2种通讯软件最容易被利用的,就是方便的即时传讯内,夹带可直接点开的连结网址,尤其最近使用MSN的网友应该会发现,持续有很多不明呢称的使用者会把你加入,先不论他们动机是什么,但是这要是出现被利用在有心人身上,只要在连结中放一张图片或执行档,你一点开就中计了。也不要因为好友好心传了什么东西给你看,就来者不拒,最好先问清楚是什么东西,借由盗通讯软体帐号来散播木马的,也是大有案例在。不管是不是你的好友,请小心突如其来送你的连结,如果是不熟的甚至是陌生人,一定要更加小心。) e8 T; S5 s, m E4 v
1 D' ~& K f" P* g* l) [/ w/ e
# G5 @ T# H+ ` e2 w" }0 |- u游戏中玩家散播奇怪的网址,以及吸引你的各种连结. B2 u+ K2 Z P: n/ v0 f B
重要性:★★★★! W/ g L3 r. [( J( F- l5 H+ Q
- k( I" H5 h7 S, |/ {( Z在游戏中常可以看到有新手玩家到处刷频,无非是在散播外挂或是卖游戏币的讯息,虽然游戏内不能从对话来点选网址连进网页,但是如果要诱惑你去点选木马网页,通常只要打一些让人心动的讯息,例如「一击必杀、锁血外挂免费试用」、「加速程式、超好用自动打怪」、「自动采集,超快速练级洗钱外挂试用」,相信十个玩家看了,大概有几个会试着把网址打过去连上,好奇心驱使之下上了网站,过几天你就等著帐号被脱光光带出场。这种网站如果不把外挂夹在网址内(避免被防毒软体挡下),也会夹带于外挂下载的程式中,甚至放在外挂程式内,而这些程式从来就不如他们讲的那么强大,甚至根本就不能用,只是空壳子而已。如果你爱用外挂爱点怪网站,帐号会出问题请千万千万不要怨天尤人,这是自找的。5 t0 |/ d* T' Y% T1 K5 }
: e* s! Y& ]' O u: j2 c
除了让人心动的标题,也有利用玩家贪念来吸引你上勾的方式,像是这种「不玩了,我帐号内有很多钱和稀有装备,有图片给大家看,看完再留言给我」、「外挂换点卡喔,超好用」、「用程式冲到+12没爆过,只要用XXX跟我换我就给你」,如果你有贪念,轻者就是东西被骗,重者就会让你跌入地狱,这些方式虽然一直有新的手法来呈现,但是本质都一样,就是利用玩家贪心来诈骗罢了。玩个线上游戏还喜欢用些什么鬼东西的,帐号被掏空自然也就不稀奇。
& I2 R/ } H3 ?: F" f$ [
1 `% N7 A! B# n( Q* h) Y$ q1 E# v7 w* ?# o
小心被滥用的入口网站搜寻功能
- i; I) ^* }4 s, ]+ q' q% G重要性:★★★★4 Z3 T+ K. i2 h3 W' P0 D4 o" [+ {
9 l9 |( V8 X- G) d, E: o/ w很多人喜欢上网查「外挂」、「刷钱」等字眼来搜寻有没有「好用」的东西。
5 @3 ]( h; M" Q& c8 ]$ |0 N$ g& q* N; O
一般标榜「洗钱」的程序100%都是假的,几乎都是木马网页或木马程式甚至图档,洗钱这东西人家自己用都来不及了,怎可能免费分你,天下绝对没有白吃的午餐。利用kimo或是google搜寻关键字要特别小心,现在这些搜寻都被不肖人士变相利用,入口网站过滤网页的效率很低,甚至一些卖游戏币的网站也是利用搜寻来引你点入,就算你打开官方的网页,出现假网址的可能性也是很高,有些不肖人士利用「暴力关键字」来增加网站的曝光率,但是网站内放些什么东西你怎会知道?所以不要任意相信搜寻出来的各种连结,这些连结的网址要先看清楚。如果你搜寻游戏的名称想上官网,通常排序前两个自己先注意一下网址,前几个排序需要用钱购买,通常会是游戏公司正常的连结,而底下出现的一些怪网页请不要随便闯入,要习惯浏览左下角的网址和网页说明,不要看到连结就点进去,现在有一堆垃圾网站都是用关键字的搜寻来引诱玩家。
; o4 V% w6 l4 o' T4 D# Y3 z5 [
* ?$ G0 ~, G( X" N1 u2 D
3 ^4 n& ~* w: W. [完全变调的家族讨论区
# Q" A N } Y重要性:★★★★★6 o5 N! v$ H! \+ S9 X4 M* Z
, T% ^7 I; U% R
这是目前问题很大的一个引爆点,很多人爱上入口网站加入一些外挂家族,然后用侥倖的心态等待别人丢些好东西上去,这些外掛洗钱讨论的家族,正好是某些人士的饕餐,很多人喜欢来这里边放木马,只要在标题打上很耸动的「超猛+9XX之剑」、「最强的刷钱程式强力推荐」、「天堂出现82级的超强骑士,有图为证」,类似这样很耸动的标题,很多人就会经不起诱惑点进去连结,连上后哪会有好东西,再来就是等你哀天哭地了。另外也有一些玩家喜欢不劳而获,很爱留Email讨外掛,个人对这种行为真的觉得很可笑,这些人的名单都有人在收集,到时候寄到信箱给你的「惊喜」,相信一定会让你「永生难忘」,被盗个几次,以后你就会学乖了。
; V$ O g e) m5 ]+ Q- [0 X2 n2 C7 w. Z& b$ _
5 m3 z6 z8 x8 j% w! \知名游戏讨论区更要当心+ J& l r! t7 c/ o
重要性:★★★9 w0 @" Z/ S6 ?: e/ ^
- F. p, c, O P; P+ X
几个大游戏网站都有严格的版主和防护的机制,但是难免会有漏网之鱼会利用新申请的帐号作怪,或是盗别人的帐号来发表一些木马连结,因為身在知名的游戏讨论区,所以很多玩家警戒心会降低,玩家比较容易相信其他玩家发表的连结,这时候千万不要看到耸动的标题进去就点别人发的Link,一定要改掉这个坏习惯,越知名网站越要小心。现在中木马的方式很多种,就连别人分享Flash动画也可能会藏木马,还有一种手法是留影片连结给你,然后使用Realplayer观看影片时自动开啟网页被指引去某网站,网友就这样中了木马程式。不管是多知名的网站,只要文章有连结,点选前请自己多加小心。
3 [9 {+ y" a& d7 D$ @* s) r6 c* W# ^0 G# |
1 f; i/ ]% F! n5 G. ~爱上色情网站和一些互动讨论区(下mp3、影片、档案)$ S* K. L2 w9 ~, V, e
重要性:★★★★★
& Q) g& P& ~% y; d* z2 Z6 ]; m: N6 Z& E. y: d' \) |: b0 I
有种手法叫做无差别攻击,为何上一些色情网站、下歌网站、下载游戏网站,一堆拉七杂八跟线上游戏不相关的网站,也会让自己被盗帐号?0 {! o" m, H( g7 K4 _4 O) N
4 {) y+ i, [' B0 \2 W8 G+ k
在Cracker收到这些回报资料后,他们可以将这些资料分类再出售给各种需要的人,隐藏的log会记录你开过哪些游戏,Key入哪些帐号密码,你一次玩三种游戏,三种帐密都到人家手上,他们就会分类汇整,这是很简单的工作,这些资料全都是有价值的。
9 t+ ^1 k! a9 Q5 Y( M7 k" H# k
( j4 d5 Z$ A% G! ?- C. K这边游戏公司的MIS讲了一个案例:有个使用者电脑会自己重启,把电脑送去给MIS检查后发现隐藏了一个纪录档,里面有所有开过的线上游戏帐密、MSN密码、登入网站信箱密码、Email帐密、股票、信用卡、银行帐户等等,全部都没有放过,。
3 d4 i( H6 B9 M- f# [9 a4 G' x" ]: f2 d" W5 m/ [$ a: o& W Y! ^
所以千万别以为连一些和游戏不相关的网站就不会出事情。
/ x" g# x; P9 G, _0 T# i1 @4 I" h
1 V A' ~: V8 q' e, j
% H, N1 G( P0 V0 ]付费外挂内镶木马- W! }5 ]4 D+ v8 L5 j
重要性:★★★★★
6 A$ W% T* F, G- n
9 _$ p* y7 o4 v2 U) g他们把木马程式内镶在付费外挂内,让你付钱还被强奸,花钱还让人出卖你。+ E9 O) k! H; G
当然信不信随便大家
