恶意网站特征:假冒《跑跑卡丁车》官方客服,发送用户中奖信息。中奖活动时间不断在变化。
恶意网站目的:以"万元大奖和名牌笔记本"为诱饵,向"系统抽取"的"幸运玩家"骗取钱财。
最近接到很多读者举报,在玩《跑跑卡丁车》游戏的时候经常收到一些所谓的"系统消息",消息中以用户被抽中为"幸运玩家"为诱饵,诱骗玩家到一些所谓"活动网址"办理领奖手续,来大肆骗取"领奖手续费用"。
按照玩家提供的线索,我们在《跑跑卡丁车》官网注册了一个新号,没玩多久"道具赛"就收到一个ID名为"系统消息102"发送的"中奖信息"(如图)。我们打开其中的http://www.sjpo.cn,网站马上自动跳转到http://pokc.vip.vowoo.com/pop/的网址。打开网站页面后,首先我们看到的是网站的图案、颜色、风格与"世纪天成"的《跑跑卡丁车》官网基本一样,尤其是网站的上半部分,模仿逼真,很难让人看出真假。
首先,我们进入"信息产业部ICP/IP地址信息备案管理系统",输入网站上的ICP备案号进行查询。由于是盗用"世纪天成"的ICP编号,因此该备案号确实存在,但是查询结果里面的三个网址都没有http://www.sjpo.cn。
为了进一步确认我们的推断,我们使用收到的验证码登录网站,接受"奖品领取协议"后,系统为我们产生了一个"幸运码",并出现了我们获得"索尼公司提供的28000元奖金和价值9988元的索尼笔记本一部"的信息,然后系统要求我们填写领奖详细资料。www.iTCoMPuTeR.com.cn
网站还要求获奖用户必须承担"本次活动获得的奖金和奖品办理手续费用"共计850元人民币,并且承诺可以在获奖者收到颁发的奖金、奖品之后,返还其中的600元保险金。网站上预留的汇款人账户竟然是个人账户,客服电话是一个比较奇怪的号码,而官网客服电话区号为021,这些都与官网有很大出入,我们在拨打真正的《跑跑卡丁车》官方客服电话后也进一步证实了该网站是骗人的。此外,中奖活动时间居然在不断地变化着。
编辑点评:网络游戏由于拥有数量庞大的用户群,因而也是诈骗活动的高发地带。同时,由于很多游戏网站都会不定期地举办一些有奖活动,这也使得一些不法分子"浑水摸鱼",利用各种中奖信息作为诱饵实施诈骗。
尽管各游戏官方网站一再发表声明,提醒广大玩家注意鉴别、提防受骗,但还是不断有用户受骗,归根结底是有的用户仍然抵挡不住"巨额大奖"的诱惑。建议广大游戏用户一定要提高警惕,注意鉴别各种"中奖信息"和相关网站的真伪。
如何显示隐藏文件
我们知道,类似于AV终结者这样的病毒可以通过修改注册表使得我们无法显示隐藏文件。一般来说,遇到这样的问题只有通过查杀病毒并修复注册表才能够查看隐藏文件,这对于菜鸟来说显然是很困难的,况且有的病毒能够对注册表进行监控,将用户对注册表的修改给还原回去。
难道我们对此就束手无策了吗?我有个好方法——给文件夹查看选项卡下的显示/隐藏文件选项添加一个备份(见图),这样当病毒入侵使得我们无法查看隐藏文件时,我们只需要在文件夹查看选项卡下对备份的选项进行操作就可以实现查看隐藏文件的目的。下面就给大家来说一下如何在文件夹查看选项卡下添加这个备份选项。
第一步:单击“开始→运行”菜单,调出“运行”对话框,输入“regedit”打开注册表编辑器,定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden”分支下,先将这一分支下的所有内容导出以做好备份,再将项“Hidden”重命名为任意的英文字母组合,如HiddenBackup。
第二步:再定位到注册表的“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HiddenBackup\NOHIDDEN”分支下,然后将右边窗口中的“Text”字符串的数值名称修改为其他的文字,比如修改为“我的备份——不显示隐藏的文件和文件夹”。
第三步:重复第二步的过程,把“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HiddenBackup\SHOWALL”分支右边窗口中“Text”字符串的数值名称修改为“我的备份——显示所有文件和文件夹”;最后定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HiddenBackup”分支下,将右边窗口中“Text”字符串的数值名称修改为“我的备份——隐藏文件和文件夹”。
经过上述操作,当你在任意窗口中单击菜单“工具→文件夹选项”命令,打开“文件夹选项”窗口并切换到“查看”选项卡,就可以在如图所示的窗口中看到添加的显示/隐藏文件的备份选项了。
我们添加的备份选项,在注册表中的位置和原来的选项位置不同,因为在第一步中我们将项“Hidden”的名称修改为其他的任意内容;病毒无法也不可能知道我们添加的备份选项的准确路径,当然就更谈不上破坏了。
如何清除红狼木马
最近有个网友通过QQ给我发了一个网页链接,因为QQ给这个链接显示了绿色盾牌,因此就直接点击,可是隔天上网后发现我的游戏装备被盗了。于是把这件事给同事说了,他感到很惊讶:“你的杀毒软件有主动防御功能,正常情况下当木马向系统或注册表添加信息的时候,主动防御都会弹出相应的提示窗口,难道你的杀毒软件没有任何提示吗?”
在检查了我的电脑后,他告诉我主动防御没有报警的记录。此外在进程管理器中他发现svchost.Exe进程老是向外发送数据。请问医生,这木马是怎么进入我电脑中的?我该怎么清除它?
病毒自述:我的眼中没有主动防御
我是一匹孤独的红狼,近期在网上独自作案。没错,就是我害的你,记住我的大名——“红狼远控”,帅得能绕过主动防御的“狼”!
由于我本身属于一款木马程序,因此主要还是通过网页木马、文件捆绑等方式来进行传播的。当我进入到远程用户的系统中后,首先自动恢复Windows系统的SSDT,这样就可以保证杀毒软件的主动防御立刻失效。接着我们自身会释放一个svchost.Dll文件到系统中的System32目录里面。
小提示:SSDT中文名为“系统服务描述符表”,杀毒软件的主动防御功能,就是通过它来改变程序的运行规则,从而对程序的可疑行为进行判断和警告的。
然后svchost.Dll文件会自动插入到svchost.Exe进程中,从而利用这个进程来连接远程的客户端程序,此外还会在系统服务中添加一个新的服务,便于以后我随机启动。当连接成功以后就可以通过客户端程序进行文件管理、桌面查看、键盘记录等操作。
我的键盘记录功能可以记录各种各样的账号和密码信息,还支持离线键盘消息记录,这样当连接成功后就可以立即查看不在线时用户的键盘操作。
本期医生:杀破这只“狼”
这个木马虽然能绕过主动防御,但并不是消灭不了它,下面我就教大家如何清除这个可恶的木马。
第一步:首先运行安全工具WSysCheck(软件下载地址:http://www.cpcw.com/bzsoft),点击“进程管理”标签,在进程列表找到一个粉红色的svchost.Exe进程。由于木马采用了进程保护措施,通过常见的进程结束命令行不通,因此选择右键菜单中的“禁止选择的程序运行”命令(图1)。
第二步:这时系统可能会出现假死等不稳定的情况,不过重新启动一下系统就可以了。接着点击程序的“服务管理”标签,从服务列表中找到一个名为IPRIP的服务,这就是“红狼远控”的启动项。点击右键菜单中的“删除选中的服务”命令即可将它清除(图2)。
第三步:然后点击程序的“文件管理”标签后,在程序模拟的资源管理器窗口中,来到Windows系统中的System32目录。找到“红狼远控”的服务端文件svchost.Dll后,点击右键菜单中的“直接删除文件”命令就能将木马彻底清除(图3)。
最后大家还需要重新安装一次杀毒软件,这样主动防御功能才会重新启用。另外提醒大家一定要加强自己的防范意识,不要随意地点击其他人发来的网络链接,因为这些可能就是插入了网页木马的链
From:http://www.itcomputer.com.cn/Article/Network/201309/361.html