盜號木馬

經常看到有用户説，在輸入自己賬號與密碼後提示密碼錯誤，那麼八九不離十就是中了盜號木馬了，其實這種木馬是最早期的盜號木馬程序。05年後已經很少有編木馬程序的程序員，還按照這種監聽鍵盤記錄的思路去編寫木馬程序。更高級的盜號木馬程序已經發展到通過內存提取數據來獲得用户的賬號和密碼。

不管任何一款程序，它都是有他所特有的數據的（包括用户的賬號、密碼，等級裝備資料等等）。這些數據都是會通過本機與遊戲服務器取得了驗證以後，用户的角色資料才會出現在用户的面前。而這些數據在運行的時候都是存放在計算機的內存裏面的。木馬作者只需要在自己的程序裏面加入條件語句就可以取得用户真實的遊戲賬號、密碼、角色等級等等。這種編程語句的大概意思應該是：當遊戲進程進入到讓用户選擇角色的時候再從內存中提取最後一次的賬號、密碼、角色等級等資料。

盜號木馬程序一般分為服務器端程序和客户端程序兩個部分，當服務器端程序安裝在某台連接到網絡的電腦後，就能使用客户端程序對其進行登陸。這和PcAnywhere以及NetMeeting的遠程控制功能相似。但不同的是，木馬是非法取得對對方電腦的控制權，一旦登陸成功，就可以取得管理員級的權利，對方電腦上的資料、密碼等是一覽無餘。

這種木馬一般的"偽黑客"很少使用，因為一不小心就會引火上身，被對方反查過來就會偷雞不成蝕把米了。一般他們都會採用只有服務器端的小木馬，這類木馬通常會把截取的密碼發到一個郵箱裏，不需要人為操作，有空去收趟郵件就可以了。

這種木馬遍佈互聯網的各個角落，的確防不勝防，由於木馬程序眾多，加之不斷有新版本、新品種產生，使得軟件無法完全應付，所以手動檢查清除是十分必要的。

木馬會想盡一切辦法隱藏自己，別指望在任務管理器裏看到他們的蹤影，有些木馬更是會和一些系統進程寄生在一起的。如著名的廣外幽靈就是寄生在MsgSrv32.exe裏，它也會悄無聲息地啓動，木馬會在每次用户啓動windows時自動裝載服務端，Windows系統啓動時自動加載應用程序的方法木馬都會用上。如啓動組、win.ini、system.ini、註冊表等等都是木馬藏身之地。

1、有很多圖片木馬，EML和EXE木馬，其中的圖片木馬其實很簡單，就是把木馬exe文件的文件頭換成bmp文件的文件頭，然後欺騙IE瀏覽器自動打開該文件，然後利用網頁裏的一段JAVAscript小程序調用DEBUG把臨時文件裏的bmp文件還原成木馬exe文件並拷貝到啓動項裏。接下來的事情很簡單，下次啓動電腦的時候就是噩夢的開始了，EML木馬更是傳播方便，把木馬文件偽裝成audio/x-wav聲音文件，這樣接收到這封郵件的時候只要瀏覽一下，不需要點任何連接，windows就會代勞自動播放這個他認為是wav的音樂文件，木馬就這樣輕鬆的進入電腦。

2、把木馬exe編譯到.JS文件裏，然後在網頁裏調用，同樣也可以無聲無息的入侵電腦，這只是些簡單的辦法，還有遠程控制和共享等等漏洞可以鑽。

3、通過QQ，例如想盜遊戲中指定人物的賬號，首先和他聊2句知道他QQ多少，然後通過QQ傳送木馬給他！QQ可分為：直接傳送文件，網絡硬盤共享，網頁木馬

4、通過郵件，把木馬做為郵件的附件發送出去！收信人只要打開附件系統就會感染木馬！

5、捆綁法，把木馬和正常的程序捆綁在一起，在有人運行表面正常程序的同時，木馬也就運行了.....這個捆綁的程序可以是：圖片，電影，音樂，遊戲外掛等等等

6、把木馬在網吧電腦上雙擊下後，即可！對於網吧的還原精靈，在輔助工具一欄有還原精靈轉存軟件可破解此限制！

7、木馬和QQ尾巴這樣的病毒綁定在一起，這樣傳播速度非常快的！

8、最強的木馬傳播方法：網頁木馬！有人如果點了掛有木馬的網址就會自動從服務器上加載木馬！一般的下載速度是50K/秒，而木馬卻只有16K的大小，也就是説只要有人點下網址就瞬間中下木馬！

金山毒霸全球反病毒監測中心公佈2007年上半年十大網絡遊戲盜號木馬：

魔獸大盜

“魔獸大盜”變種QZZ(Win32.PSWTroj.wow.qzz)

該病毒是“魔獸大盜”的惡意改造版，它跟之前的惡意行為相似，會潛伏在電腦系統裏，伺機注入到網絡遊戲“魔獸世界”進程中，盜取用户的遊戲賬號，密碼和裝備等有效信息，並將其發送給木馬種植者。造成用户的虛擬財產的損失。

該病毒運行後，會釋放isignup.dll等病毒文件，修改註冊表，實現隨開機自動啓動。此外，它還具備自刪除的功能。

征途大盜

“征途大盜”變種SA（Win32.Troj.PSWZhengtu. sa）

該病毒的惡意行為跟之前“征途大盜”相似，都是針對網絡遊戲“征途”而來的，它會潛伏在受感染電腦的系統裏，伺機注入到遊戲“征途”的進程裏，截取用户的QQ賬號和密碼信息，將竊取的有效信息發送給木馬種植者，造成用户網絡虛擬財產的損失。

該病毒運行後，會釋放npkcrypt.vxd和ztconfig.ini等多個病毒文件，添加一個名字為LoginService的病毒服務，查找“征途”的客户端窗口zhengtu_client，將竊取的賬號信息和密碼併發送出去。

傳奇大盜

“傳奇大盜”變種WXX(Win32.Troj.PSWLmir.wxx)

該病毒是“傳奇大盜”的惡意改造版，跟之前的版本的惡意行為相似，它會潛伏在電腦系統裏，伺機獲取網絡遊戲的用户登錄窗口，並記錄用户的鍵盤和鼠標的操作，將竊取的信息發送給木馬種植者，造成用户的虛擬財產的損失。

該病毒運行後，會釋放一個ptool32.exe病毒文件，修改註冊表，實現隨開機自動啓動。關閉KVXP_Monitor和木馬防火牆等多個安全軟件的殺毒窗口。

西遊大盜

“西遊大盜” (Win32.PSWTroj.OnlineGames)

該病毒是跟一般的盜號木馬行為相似，它會潛伏在受感染電腦中，伺機注入到網絡遊戲“大話西遊”的遊戲進程，創建信息勾子獲取遊戲賬號和密碼，並將竊取的信息發送給木馬種植者。造成用户的虛擬財產的損失。

該病毒運行後，會釋放dh2103.dll病毒文件，修改註冊表，實現隨開機自動啓動。自動查找WSWINDOW窗口，盜取有效信息，並將其發到惡意站點h**p：//wangz*****ta.dprktimes.c om/kaole/lin.asp。

誅仙竊賊

“誅仙竊賊”(Win32.PSWTroj.OnlineGames.139264)

該病毒是一個網絡遊戲的盜號賊，它跟一般盜號木馬相似，它會伺機注入到網絡遊戲“誅仙”進程裏，通過讀取進程內存的方式，獲取遊戲賬號和密碼，並將其發送給木馬種植者，造成用户的虛擬財產的損失。

該病毒運行後，會釋放kulionzx.exe和kulionzx.dll病毒文件，修改註冊表，實現隨開機自動啓動，盜取有效信息，並將其發送到hxxp：//www.jb***.com/***yszx/sendmail.asp。

完美世界竊賊

“完美世界竊賊”變種LC(Win32.PSWTroj.XYOnline. lc)

該病毒會偽裝成受感染電腦中的系統進程，監視網絡遊戲“完美世界”的遊戲進程，創建信息勾子，盜取遊戲的賬號和密碼、金錢等有效信息，並將其發送給木馬種植者。造成用户的虛擬財產的損失。

該病毒運行後，會將自身複製到winlog0n.exe系統進程裏，修改註冊表，實現隨開機自動啓動。搜尋並獲取完美世界的ElementClient.exe遊戲進程，達到盜號的目的。

天龍神偷

“天龍神偷”變種E(Win32.PSWTroj.TLOnline.e)

該病毒是一個新的網絡遊戲盜號賊，它跟一般盜號木馬的惡意行為相似，會潛伏在電腦系統裏，監視網絡遊戲“天龍八部”的用户登錄窗口，記錄遊戲賬號和密碼等有效信息，並將竊取的信息發送給木馬種植者，造成用户的虛擬財產的損失。

該病毒運行後，會釋放多個病毒文件，修改註冊表，竊取遊戲賬號和密碼，並將其發送到h**p：//www.z*****.cn/tianlong/postly.asp等多個站點。

夢幻西遊大盜

“夢幻西遊大盜”變種IU(Win32.Troj.XiYou.iu)

該病毒跟一般盜號木馬病毒的惡意行為相似，它會伺機注入到網絡遊戲“夢幻西遊”的遊戲進程裏，同時創建信息鈎子，獲取用户的賬號和密碼等有效信息，並將竊取的信息發送到木馬種植者指定的惡意站點，造成用户的虛擬財產的損失。

該病毒運行後，會釋放nmhxy.exe和nmhxy.dll兩個病毒文件，搜尋並注入該遊戲進程my.exe，獲取相關的有效信息，然後，將信息發送到惡意站點。

點開始-運行，輸入：msconfig回車就會打開系統配置實用程序，先點system.ini，看看shell=文件名，正確的文件名應該是explorer.exe。

如果explorer.exe後邊還跟有別的程序的話，就要好好檢查這個程序了，然後點win.ini“run=”和“load=”是可能加載“木馬”程序的途徑。一般情況下，它們的等號後面什麼都沒有，如果發現後面跟有路徑與文件名不是熟悉的啓動文件，計算機就可能中上“木馬”了。當然這也得看清楚，因為如“AOL木馬”，它把自身偽裝成command.exe文件，如果不注意可能不會發現它不是真正的系統啓動文件。

最後點“啓動”，檢查裏面的啓動項是不是有不熟悉的，如果實在不清楚的話可以把他們全部取消，然後重新運行msconfig，看一下有沒有取消的啓動項重新被選中的，一般木馬都會存在於內存中，（就是線程插入，然後隱藏進程的木馬，DLL無進程木馬就不會駐留在內存裏面）所以發現取消他的啓動項就會自動添加上的，然後就可以逐步添上輸入法，音量控制，防火牆等軟件的啓動項了。

還有一類木馬，他是關聯註冊表的文件打開方式的，一般木馬經常關聯.exe，點開始-運行，輸入：regedit回車，打開註冊表編輯器，點第一條，也就是HKEY_CLASSES_*OT，找到exefile，看一下\emffile\shell\open\command裏面的默認鍵值是不是%1%*。如果是一個程序路徑的話就一定是中木馬了，另外配合兩種以上的殺毒軟件也是必要的，另外在windows下木馬一般很難清除，最後重新啓動到dos環境下再進行查殺。

開始-設置-控制面版-添加刪除程序-windows安裝程序-把附件裏的windowsscriptinghost去掉，然後打開InternetExplorer瀏覽器，點工具-Internet選項-安全-自定義級別，把裏面的腳本的3個選項全部禁用，然後把“在中加載程序和文件”禁用。

這只是簡單的防治方法，可能影響一些網頁的動態java效果，這樣還可以預防一些惡意的網頁炸彈和病毒，如果條件允許的話可以加裝防火牆，再到微軟的網站打些補丁。

網吧用的都是原始安裝的windows，很不安全，儘量少在一些小網站下載一些程序，尤其是一些號稱黑客工具的軟件，小心盜不着別人自己先被盜了。

不要以為裝了還原精靈就很安全，一般網吧的還原精靈都只還原C：盤即系統區，所以只要木馬直接感染安裝在別的盤裏的遊戲執行文件，照樣逃不掉的。

1.設置角色密碼（可結合密碼保護卡），

2.設置揹包密碼，揹包分二部分（G也分2部份，1大額，1小額），一部分需要密碼（可以放重要的財產），一部分不要密碼（放置常用物品），可結合密保卡。

3，裝備欄設置密碼保護卡，上線後需要輸入密保卡解除裝備欄的密報卡數，才能使用技能 ，如果不解除綁定，不能使用技能並且無法交易。

4，倉庫通過密碼打開後，與揹包相同。

5，設置退出密碼，輸入退出密碼正常才能下線，非正常下線5分內不能登陸。

6 設置下次登陸地點，玩家下線時可以選者下次登陸的IP段（以市為單位，不在IP段裏面的IP，不能登陸 ）

6 計算機綁定，對於有計算機的玩家可以綁定CPU編號，這點某些殺毒軟件有這個技術，你們估計也有這技術。

7，上述六點可結合密碼保護卡，並且可以設置多張密碼保護卡，登陸界面一張密碼保護卡，角色界面一張密碼保護卡，揹包一張密碼保護卡，倉庫一張密碼保護卡，退出登錄一張密碼保護卡。補充：密保卡可隨自己意願綁定，但是追號大於等於2，揹包，倉庫等可以用同1張密保卡（最好不和登陸用同1張），關於手機密保可改為，登陸時不需打手機，登陸後所有物品全部無法交易出售，無法發言，在登陸後打手機才可解除，可防止手機密保在登陸界面被木馬利用

8，加強遊戲本身防木馬能力。可以和殺毒軟件公司合作設置一款專門用於魔獸的殺毒軟件

9，加入網吧IP段保護

10，這需要網遊公司對現有密碼系統升級

密保卡解綁過程：

登陸的時候通過木馬盜取玩家的密碼，並且用盜取的密碼進入密碼保護卡解除綁定的網頁頁面，在通過木馬把玩家登陸時候的三個密碼保護卡數換成密碼保護卡解綁需要的三個數，1次就能騙到密碼保護卡解除綁定需要的三個數了，再解除綁定，玩家的賬號就跟沒密碼保護卡一樣.電話密碼保護也一樣，玩家打了電話，然後登陸的時候通過木馬讓玩家不能連接服務器並盜取玩家的密碼，然後盜取賬號者就2分內可以上去了盜取玩家財產。

一個讓所有遊戲玩家深惡痛絕的名字，辛辛苦苦幾個月，甚至幾年贏來的裝備，頃刻之間全部消失，讓人心痛。據統計，網絡遊戲愛好者87%有過被盜號經歷，而2007年7月4日，金山發佈2007年上半年安全報告中，報告指出上半年新增的木馬中，盜號木馬是最嚴重的一類木馬，佔到木馬總數的76.04%，高達58245種。