《电脑报》论坛热帖:最近我一直在玩《魔兽世界》,一天突然发现游戏账号被盗,里面的游戏装备以及金币都不翼而飞。我在玩游戏时都很小心,将账号和密保卡进行了捆绑的。谁能告诉我,这到底是怎么回事呀?为什么我的密保卡没有起作用?
这位兄弟碰到的问题,也困惑了现在不少《魔兽世界》玩家。一款名为酷狮子的木马,让《魔兽世界》安全的“守护神”——密保卡失效了。
小提示:密保卡是一张数字坐标图型卡,每一组数字对应不同的坐标。用户首先需要在账号通行证进行密保卡的绑定,当用户进入游戏的时候只有输入正确的矩阵数字才能登入游戏。
酷狮子盗号木马不同于传统的盗号木马,它直接替换了网络游戏的客户端程序,而且将木马程序设置为和网游客户端一模一样的图标,并且仅在用户启动游戏时才激活木马程序。需要注意的是,当杀毒软件处理该木马时,就会被玩家认为杀毒软件“误杀”了游戏程序。
它又是怎么让密保卡失效的呢?酷狮子木马会定时将游戏窗口关闭,因此用户必须多次输入密保卡坐标系中的密码,这样坐标系中数字的大致分布就出来了(如果盗取密保卡中60%以上的密码组,就可以开始盗号,成功率就非常高了),于是黑客就可以利用这张自制的“密保卡”完成盗号操作。
小提示:酷狮子盗号木马还有针对《热血江湖》、《完美世界》、《武林外传》和《诛仙》的变种。
酷狮子木马清除方案
先把酷狮子揪出来
1.检查进程
运行安全检测软件WSys Check后点击“进程管理”标签,我们可以看到多个粉红色的进程,这些进程都被木马进行了线程插入操作。它们的模块信息中都包括一个可疑的木马模块winow.dll。
2.查找文件
点击程序的“文件管理”标签后,在模拟的资源管理器窗口中,按照可疑模块的路径指引,很快就可以发现了那个可疑的木马模块文件,与此同时还可以发现一个和模块文件一起的木马文件winow.exe。看来这个盗号木马是由这两个文件组成的。
再将酷狮子就地正法
现在我们就开始进行清除了。在“进程管理”中首先找到粉红色进程并选中它们,接着选中某个进程里面包括的winow.dll模块,然后通过鼠标右键中的“卸载模块”命令清除它。
再在“文件管理”标签中对木马文件进行直接的强制删除操作,这样就可以在不重新启动系统的情形下完成木马程序的清除操作。当然还有一点各位用户千万要注意,就是网游安装目录下还有一个木马伪装的客户端程序,我们将它删除后再找到被木马隐藏的正常客户端,改为原来的名字后便可以正常进入网游。
总结
酷狮子木马有两大特点:一是采用了直接替换客户端这种“偷梁换柱”的方法,来达到盗取账号密码的目的。以前的木马程序在盗号的时候,常常采用的是线程插入技术,即将木马的服务端进程插入到游戏客户端进程中。二是能记录密保卡的数字,从而达到让密保卡失效的目的。这种破解方式会引起魔兽玩家多次掉线,如果你在玩《魔兽世界》时有这样的现象就要小心了,要立即展开安全检查,避免账号被盗。