究竟是什么原因促使短期内网游盗号木马会如此不正常地大幅增长呢?经过一番调查,结合读者的举报线索,我们发现近两个月来互联网上冒出了多个公开制作、出售病毒木马的非法网站,且生意兴隆、买卖红火。
例如最近声名大噪的比翼马网站就以定做、出售各类网游盗号木马为主业,网站号称“诚信与技术,比翼双飞”,且承诺提供的木马绝无后门,100%免杀,可躲过所有杀毒软件的查杀,甚至还有VIP版本可供选择。而测试账号、视频教程、交流QQ群等售前、售后“服务”更是样样俱全。
它出售的网游盗号木马包括《魔兽世界》、《魔域》、《诛仙》、《征途》等在内的数十种热门网络游戏,针对网络游戏密保卡更是推出了全套解决方案,声称可轻易破解,价格也从600元的小马到1500元的木马生成器不等。令人啼笑皆非的是,该站一再提醒顾客注意辨别自己才是正宗的“比翼马”,并列举了多个仿冒网站,真是五十步笑百步。
病毒平民化无疑是一个非常危险的信号,此类网站的行为使人人都能四处“施毒放马”,不少心怀叵测者更是将这些木马投放到网吧或制成恶意网站盗取他人虚拟财产,使网络盗窃等犯罪行为日益猖獗。
尤其令人忧心的是,购买这些网游盗号木马的人群中有不少都是尚未成年的中小学生,然而他们大多数人却并不认为这是违法的事,反而觉得在同学中很有面子。wWw.ITcOMPuTER.coM.cn网络游戏的特殊性使未成年人辨别是非的能力进一步被削弱,认为游戏就是游戏,即使盗窃了他人账号也不是什么大事。
因此,这种明目张胆售卖计算机病毒程序的网站不仅严重威胁网络环境,扰乱游戏秩序,更严重了扭曲青少年的是非观、价值观,引诱他们走上违法犯罪的道路。我们相信真正热爱网络、热爱游戏的人们绝不会容忍此种网站继续为所欲为,本期HOSTS反黑文件已将多个此类网站屏蔽,欢迎广大读者继续提供举报线索。
编辑点评:春节将近,网络游戏上线率也将达到顶峰,同时也是各类病毒和网游盗号木马最活跃的时候,各位网友玩家务必要开启杀毒软件和防火墙的实时监控,并确保自己的病毒库为最新病毒库。
鉴于近期层出不穷的网游盗号木马都针对主流杀毒软件使用了免杀技术,建议玩家最好使用有账号保护功能的密保类软件登录游戏。此外还要注意,如在游戏进行中频繁掉线、多次弹出登录窗口或多次要求输入密码时要提高警惕,这有可能是新型木马使用的卑劣手段,企图记录密码。
如何找到后台地址
虽然网上有很多网页有各种各样的安全漏洞,利用它们我们黑客可以暴出网站的账号和密码,但是经常会碰到找不到网站后台登录界面的情况,许多菜鸟做到这里就止步了。
但这还难不倒我,如果我暴出的账号分配的有DB_OWNER权限,我就可以利用DB的目录浏览权限来读取服务器目录,从而找到后台登录界面(当然完成这个过程需要一定的耐心),登录后即可上传木马了。
小提示:要上传木马,首先要成功找到网站系统后台地址,其次系统后台还要具备数据库备份以及上传功能。
A.查询入侵网站的权限类型
首先在《啊D注入工具》(下载地址:http://www.cpcw.com/bzsoft)的“SQL注射检测”界面中,输入我们已经检测出该网站存在漏洞的网页地址,再点击“检测”按钮检测网站对应的信息,从程序窗口的“当前权限”中可以看到用户的权限为DB_OWNER(如图1)。如果网站的权限不是DB_OWNER就换一个网站试试。
B.找出后台地址
接着,我们要查找出网站隐藏的后台地址。现在点击“相关工具”中的“目录查看”,在“检测位置”下拉列表中选择要进行查看的服务器分区。通过对每个目录的查看,发现系统的后台目录由Admin改成Admin_999。
现在利用浏览器打开后台地址http://www.xxx.cn/admin_999/admin.Asp,并且利用先前已经得到的账号和密码进行登录就可搞破坏了。如果运气不好,该网站的后台并没有数据库备份以及任何的上传功能,我们就无法上传ASP木马(如图2)。
C.巧用WebEditor上传木马
难道这样就算了?不!通过“目录查看”,在服务器查找其他有用的信息。结果我在D:\Webs04\Bjdfty\目录下发现了一个WebEditor目录。WebEditor是简单的网页编辑器,网络编辑可以用它对网站进行编辑。
通过浏览器登录WebEditor(地址http://www.xxx.cn/WebEditor/admin_login.asp),接着在WebEditor的后台管理窗口中选择有编辑功能的样式,例如Standard,再点击后面的“拷贝”按钮复制该编辑样式(如图3)。
找到复制出的编辑样式后,点击后面的“预览”按钮打开新窗口。点击窗口工具栏中的“插入图片”按钮,选择一个图片格式的ASP木马进行上传。再点击窗口下面的“代码”得到木马的链接(如图4)。用浏览器打开ASP木马的链接,最终我们就可以控制这个网站了。
守:DB权限要严格分配
看了上面的讲解,是不是有一种豁然开朗的感觉。黑客就通过简单的点击鼠标,再加上那么一点点的分析过程,就通过DB_OWNER权限最终控制了网站系统。那么作为管理员以后该如何防范类似的攻击呢?
小编在这里提醒各位网站管理员,要定时到官方网站下载安全补丁,修复已知的网站系统漏洞,不要让黑客轻易拿到具有DB_OWNER权限的账号和密码。
当然,我们还要对网站管理权限进行设置。根据不同管理员的工作性质进行分配。比如是高级管理员,就可以分配DB_OWNER权限,以方便他对数据库进行备份操作。
如果仅仅是一些网络编辑的话,那么就可以不分配DB-OWNER权限。由于本身的权限很低,即使黑客得到这类账号和密码,想进行入侵都是非常困难的,从而有效地保护网站系统的安全。
如何防止网页病毒下载器
本周有一个病毒特别值得注意,它就是“网页病毒下载器(Worm.Win32.WebDown.a)”病毒。该病毒通过网络传播,试图关闭多种杀毒软件,还可以从黑客指定的网站上下载ARP病毒。
它是一个蠕虫病毒,在运行后会删除系统文件Svchost.exe,之后会在系统目录下建立同名的病毒文件。病毒还会将自身注册为系统正常进程,给用户判别病毒带来困难。此外,病毒还试图关闭多种杀毒软件,并且有比较完善的自我保护机制,而且还会从黑客指定的网站上下载ARP病毒,感染处于同一局域网中的其他计算机。
清除方法:使用最新病毒库的杀毒软件查杀,例如瑞星的病毒库要升级到的20.26版。此外,为了防范中毒电脑传播ARP病毒,建议使用带ARP防火墙的杀毒软件。
From:http://www.itcomputer.com.cn/Article/Network/201309/371.html