光華反病毒軟體---網游賬號保護技巧

經常聽見有的玩家在遊戲里大叫我的密碼被盜了！這麼惱人的事為啥就發生在咱的身上呢？「木馬」――使廣大玩家們用心血換來的勞動成果在一息間蕩然無存的惡魔。我們在痛恨它，唾棄它的同時，必須對它有一定的了解，並掌握一些解決的方法，這樣以後在遊戲的過程中自己的心血才不會被「木馬」摧毀！一個完整的「木馬」程序包含了兩部分：「伺服器端」和「控制器端」。植入被種者電腦的是「伺服器端」部分，而所謂的「黑客」正是利用「控制器端」進入運行了「伺服器端」 的電腦。運行了木馬程序的「伺服器」以後，被種者的電腦就會有一個或幾個埠被打開，使黑客可以利用這些打開的埠進入電腦系統，肆意查看包括遊戲帳號、密碼在內的任何東西，個人的安全和隱私當然也就全無保障了！
    一.多變的木馬
    傳奇終結者（Trojan.PSW.LMir）感染此木馬後，病毒把自身複製到系統目錄，命名為「Svchosts.exe」，然後把自身刪除，在註冊表自啟動項 「HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run 」中添加"Svchosts.exe" : SVCHOSTS.EXE 的鍵值，使自己能夠隨系統自動運行，並釋放「WinSoft3.DLL」，通過遠程線程的方式注入到系統Explorer.exe中。只要程序運行病毒就會頻繁的搜索「傳奇客戶端」試圖在用戶登陸遊戲的時候，取得用戶輸入的賬號、密碼、武器裝備等，然後發送到指定郵箱。

    如今針對網路遊戲的木馬病毒很多，而且不斷出現新變種。這類木馬剛開始只是偷賬號，現在已經發展到能阻止殺毒軟體的運行，「Trojan.PSW.Lmir.pj」同為竊取遊戲"傳奇"信息的木馬病毒。病毒運行后將自己複製到％SYSDIR％目錄下，文件名"svch0st_.exe"。 在註冊表中增加數據項："svch0st_.exe" 數據值為："svch0st_.exe"修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon項的："Shell"  為："Explorer.exe svch0st_.exe"，並結束Symantec AntiVirus 企業版、瑞星殺毒軟體、木馬剋星等反病毒軟體和監控軟體的進程。釋放兩個動態庫文件："LSAS.bmp"和"STAK.bmp"。"STAK.bmp"提供了攔截"OpenProcess"API的介面，導致其他進程無法打開"svch0st_.exe"的進程，因此也無法結束"svch0st_.exe"的進程。"LSAS.bmp"用於掛接滑鼠和鍵盤鉤子，以竊取遊戲"傳奇"信息。又如：「Trojan.PSW.Lineage.au」一個採用VC編寫竊取遊戲"天堂 II"的木馬病毒。病毒運行後會將自己複製到％SYSDIR％目錄下，名為"d1lhost.exe"，修改註冊表以下鍵值，以達到其自啟動的目的：Software\Microsoft\Windows NT\CurrentVersion\Windows修改數據項："Load" 數據值為："％SYSDIR％\D1LHOST.EXE"。創建名為"NOIRRunOnlyOne2"的互斥量，以確保只有一個病毒文件在運行。枚舉系統中進程，查找進程名為以下字元串的進程（殺毒軟體進程），"findhack.exe"、"RavTimer.exe"、"RavMonD.exe"、"pfw.exe"、 "mailmon.exe"、"eghost.exe"、
"kavpfw.exe"、"iparmor.exe"，並將它們結束。查找"Lineage II"窗口，並掛接鍵盤和滑鼠鉤子，用於監視並記錄用戶對"Lineage II"窗口的操作從中竊取遊戲"天堂II"的用戶名及密碼，將竊取的用戶名、密碼發送到指定的郵箱。
    在用戶的電腦中安裝鍵盤信息安裝程序，這種被稱作鍵盤記錄器（ KeyLoger ）的工具可以記錄所有用戶的鍵盤信息。由於當前黑客技術的日益公開化，以至於即使是黑客初學者也可以輕易的獲得這些工具。目前，全世界有超過 1500 種這樣的工具可以使用。另如："傳奇終結者變種ABM（Trojan.PSW.Lmir.abm）"病毒：該病毒運行后把複製自身到Windows目錄，命名為「svch0st_.exe」，把原來的程序文件刪除。 釋放 lsas.bmp，這是一個dll類型的文件，負責截取用戶鍵盤輸。lsas.bmp以資源的方式存在病毒文件中，資源名稱為「DllFile」。 修改註冊表達到自啟動：
「HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon」 Shell = "Explorer.exe  C:\WINNT\svch0st_.exe"修改註冊表，使用戶無法使用windows下的命令行控制台。病毒使用「My_Mir2_MapFile」作為共享數據區，把取得的遊戲玩家的用戶名、密碼、伺服器信息寫進去，供病毒主程序使用，發送到指定郵箱。

    二.木馬查殺預防
所謂「病從口入」感染源還是在於載入了木馬程序的伺服器端，那麼木馬是怎樣被種入玩家的電腦中的呢？
    1.隨意下載帶有木馬的各類圖片、小電影等、使用各種非法遊戲軟體和外掛。
    2.隨意登陸各類網站，瀏覽不明網頁，點擊來歷不明的鏈接。特別是一些玩家輕信遊戲中所謂的「朋友」，對於「朋友」發來的各種鏈接無選擇的打開，往往不經意中便被種植了木馬。
    3.在使用電子郵件、即時通訊工具時通過傳播誘導性言語使用戶點擊帶病毒的網址。

    知道了木馬的種入途徑，玩家外了建立良好的安全習慣外，還要安裝專業的防毒軟體進行實時監控，在此筆者建議使用「光華反病毒軟體」它擁有專門查殺木馬的木馬查殺引擎，內置5萬多種最新木馬樣本，可對內存中的每個進程和計算機埠進行實時監控，既可以查殺已知木馬，也可以對付未知木馬，我們可以應用光華反病毒軟體提供的強大工具來進行木馬的查殺預防。如：其「下載監視」功能：當使用網路螞蟻、網際快車等下載軟體下載程序或文本時，光華反病毒軟體會自動解除下載文件中攜帶的病毒，從而封住下載時的木馬種入。使用「郵件監視」監測郵件接收外發送也是有效防治木馬的方法，從以上的木馬病毒分析可以看出，註冊表是最容「受傷」的部分，而打開了光華反病毒軟體的「註冊表監視」后，如果有程序向註冊表中關鍵註冊表項添加鍵值時，將被光華反病毒軟體監測到，你可以選擇「同意」或「拒絕」此註冊表操作。再加上光華反病毒軟體獨創的插件功能，內置十數種安全插件更是木馬的「剋星」其中的「屏蔽惡意網站」可以幫助玩家有效屏蔽惡意網站，給計算機上網帶來安全保障避免來自含有木馬程序網站的侵擾。「隱私保護設置」可以保護信用卡號、QQ、郵箱、遊戲賬號、電話號碼等私密信息，攔截木馬、黑客盜取信息向外傳輸。還能保護關鍵字內容不被發送到 Internet （其中不包括通過安全加密方式訪問的網站）。 「木馬搜索」、「埠掃描」就是用於查找這些隱藏的木馬文件及系統中的不易覺察的變化，從而封住木馬和黑客程序的進出之門。當然這些只是光華反病毒軟體諸多工具中的一小部分，還有「郵件過濾設置」、「綠色上網」等就需要玩家朋友們自已去體驗了。

    其實，最為業界矚目的是光華反病毒軟體最新採用了光華公司首創的全球「Online」技術，把以前的「孤島」式的單機殺毒產品與當前先進的分散式網路技術結合在一起，讓用戶購買的不僅僅是一套產品，而是一個以個性化的安全解決方案為核心的網路安全平台，滿足用戶的各種不同需求。「Online」既是一種抑制病毒傳播的技術手段，也是一種用戶對防病毒產品使用的方法。作為技術，它的工作原理就是，在網際網路上採取跟病毒賽跑的方式，採取主動給用戶升級產品的方式，減緩病毒的傳播速度，從而最終達到讓病毒無法傳播、消滅病毒目的，讓電腦始終處於一個安全的環境之中。

[:442:]