现在无论是国内的还是国外的网络游戏推出后不久,很快就会出现相应的游戏外挂。游戏玩家之所以青睐各种各样的游戏外挂,主要就是它们可以帮助自己在游戏中快速消灭敌人、迅速提升游戏级别。
网络游戏外挂是一种修改游戏系统并且对服务器进行欺骗的作弊程序。它直接作用于网络游戏主程序,实现加速、看血、封包等目的。为了能够在网络游戏中快速取得较高的等级,很多玩家通过这种作弊程序来进行游戏。同时,在获得较高等级的同时,获得极品装备的几率也提高了。
虽然大多数网络游戏外挂本身没有危害性,但是为了偷窃玩家的虚拟装备等虚拟财富,很多网络盗贼会利用木马捆绑工具将游戏外挂捆绑上木马。当游戏玩家运行游戏外挂后就会成功激活木马程序,然后网络盗贼就会利用木马程序来盗窃玩家账户。
因此对于那些想通过游戏外挂来投机取巧的玩家来说,常常“是偷鸡不成蚀把米”,刚刚升级到的游戏账号或高级装备,就成为网络盗贼的“囊中之物”。有数据显示,80%以上的游戏玩家使用过各种各样的游戏外挂,而在这些人群中就有60%的玩家因此导致游戏账号和装备丢失。wWw.ItCOmPUteR.COm.cn
真实案例再现
受害人:刘星
损失金额:游戏装备+上网时间+耗费精力≈1000元人民币
刘星是个《热血江湖》游戏迷,苦于游戏水平有限迟迟不能升到较高级别,因此他在一些玩家的提示下,准备利用游戏外挂来快速提升自己的游戏级别。
他通过搜索引擎找到了很多《热血江湖》游戏外挂,经过使用该游戏外挂刘星发现,自己不但移动速度比以前快了,而且常常可以提早发现对方并消灭之。没过多久,刘星的游戏人物等级提高了,同时,他还在游戏中获得了一个价值不菲的“潜能戒指”。
没过多久当刘星再次登录《热血江湖》的账号后,竟然发现自己的潜能戒指、刀、衣服、护手、耳环等装备都不翼而飞,这些装备在网上能够卖到上千元人民币。也就是说,刘星相当于损失了上千元的钱财。
案例解剖
各种各样的游戏外挂层出不穷,甚至很多人通过编写游戏外挂来卖钱。可是这些人很多都不满足通过贩卖游戏外挂来赚钱,所以它们在贩卖的游戏外挂上捆绑木马程序,通过木马程序盗取玩家的游戏账号来转移游戏装备等虚拟财产。
当然也有其他人在获得某款主流网络游戏的外挂程序后,在把它捆绑上游戏木马后,再通过游戏论坛、游戏网站等多种渠道发布出去,从而成功窃取网络玩家的账号密码信息。
更有甚者在编写游戏外挂的时候,直接在源代码里面添加上后门代码,在玩家登录游戏账号的时候记录账号密码。开始网络盗贼不盗你的号,等到玩家的级别高了后,再盗取价值不菲的极品装备。
两法则防范外挂盗号
针对网络盗贼利用游戏外挂进行游戏账号、游戏装备等的盗窃行为,各位游戏玩家可以利用下面两条法则进行相应的防范。
第一法则:不要用任何游戏外挂
不管是网络游戏还是单机游戏,都是用来给人们娱乐消遣的,想利用外挂投机取巧来获得高的游戏级别,不但会被人所鄙视,成为游戏运营商严打的对象,同时存在被盗取账号的风险。所以玩家应该本着轻松游戏、公平游戏的原则,同时为自身账号及角色安全着想,远离游戏外挂。
由于部分网友已经下载或使用了所谓的外挂程序,虽然自己目前游戏账号依然完整,但是最好马上更改游戏登录密码,这样可以保证账号的安全;立即彻底卸载外挂程序,避免外挂自带的后门进行账号盗窃;立即使用正版杀毒软件进行杀毒,从而有效清除系统中的木马程序。
第二法则:检测下载文件安全性
如果你已经下载了游戏外挂,想知道它是否捆绑了木马,该怎么办?我们可以利用PEID、LordPE等工具(以上工具均可以在http://www.cpcw.com/bzsoft下载),对游戏外挂进行检测。
辨别外挂是否捆绑木马
我们首先利用PEID(下载地址:http://www.cpcw.com/bzsoft)这款工具来进行检测,熟悉文件破解的用户都知道,PEID是一款强大的查壳工具,其自动脱壳器插件可以应对现在大部分的软件脱壳任务。
运行PEID后点击“文件”选项后的按钮,从弹出的窗口选择要检测的可疑程序,现在我们来操作工具的检查结果。不管PEID检测出程序使用什么壳进行的加密,只要是在检测结果里面发现了有“[Overlay]”这样的结果,那么就说明这个程序被捆绑了其他的文件。
如果用户要运行这个程序的话,那么就一定要提高警惕。PEID软件可以查很多的壳信息,有的可以直接查找出带有捆绑的文件,有的则要进行深度或者核心扫描才能查找出带有捆绑的文件。
如果没有出现这样的字样的话,还可以点击“扩展”按钮中的“深度扫描”命令再次进行检测。如果真的没有出现类似字样的话,就表示这个文件是安全的。
接下来我们利用另一款名为LordPE(下载地址:http://www.cpcw.com/bzsoft)的工具来进行检测。运行LordPE后点击“PE编辑器”按钮来选择需要查看的文件,确定文件后程序会自动弹出一个“PE编辑”窗口。
点击窗口“目录”按钮后,在弹出的“目录表”窗口中点击“导入表”后面的按钮,然后在弹出的“导入表”窗口中的“DLL文件”列表中进行查找。
如果列表中只有一个USER32文件的话,那么一般都可以放心进行使用,如果要是文件带有两个USER32文件的话,那么就表示这个文件被进行过捆绑操作。
这里要对用户特别强调的是,利用LordPE工具进行检测,其准确度比不上利用PEID检测的准确度。所以大家在进行文件捆绑检测的时候最好将两种方法配合使用,毕竟这两种方法只需要点击几下鼠标即可。
如何通过暴库入侵
现在,很多网络用户在不知不觉中,就成为黑客手中的一只“肉鸡”。出现这种情况很多时候都是因为,网络用户访问的网站含有木马病毒等恶意文件。同时,现在很多网站都使用网上可以下载的网站系统。这也造成了黑客只要下载一个相应的网络系统,就可能轻易入侵一个采用默认设置的网站。
最常见的漏洞
制作过网站的朋友都知道,网站系统既可以自己进行编写,也可以下载现成的网络系统使;用。虽然各个网络系统的作用有所差异,但是它们的工作原理却是十分相似,管理员的账号密码都保存在网站系统的数据库文件中。
由于网站系统的开发人员为了能让系统正常运行,在开发的时候都默认设置了一些系统相关的信息,比如管理员的账号密码、网站系统的数据库位置、系统后台的位置等等。
可是很多网站在正常运作的后,并没有按照说明文件中的内容进行相关内容的更改,于是黑客就可以通过默认位置查找数据库的位置,然后利用数据库中的信息,成功进入系统后台对网站系统进行控制操作。
暴库获取控制权
先从网上下载一套网站系统的源代码,在这里我们就用动易网站系统的源代码,以确定数据库文件的默认位置。通过系统搜索MDB格式的文件,找到后基本就可以确定是数据库文件,由此可以得到动易系统数据库的地址为“Database\PowerEasy2006.mdb”。
打开挖掘机程序(下载地址:http://www.3800hk.com/Soft/smgj/17472.html),在“URL后缀”标签中点击“添加后缀”按钮,将动易系统的数据库后缀添加进去。
点击“开始”按钮即可自动在网络中进行搜索。大约几分钟后,程序就可以搜索到大量含有这个后缀的网址。任意在“检测结果”列表中选择一个网址后,进行双击就可以进行网站数据库文件的下载(图1)。
利用辅臣数据库浏览器(下载地址:http://www.cnxhacker.com/Soft/other/database/200608/533.html),打开下载到的MDB文件数据库。在数据库列表中找到“PE_Admin”这一项,这里就是该数据库文件存放管理员密码的地方,从中记录下“AdminName”和“Password”项目中的内容(图2)。其中的“Password”项目是经过MD5编码加密的,需要到专门的MD5码破解网站进行破解。
小知识:什么是MD5编码
MD5是一种不可逆散列算法,被广泛用于加密和解密技术上,任何一段字符都有唯一的散列编码,是目前常用的数字保密中间技术。
破解了管理员密码和账号后,同样可利用动易系统默认的设置找到系统后台,然后利用管理员的账号和密码成功登录系统后台。在“系统设置”中选择“自定义页面管理”项目,接着点击“添加自定义页面”,根据网页系统的提示进行相应的设置,将ASP木马的源代码粘贴到“网页内容”里面即可(图3)。
设置完成后点击“添加”按钮提交ASP木马,点击“自定义页面管理首页”选项,找到网页木马名称后点击“生成本页”按钮激活ASP木马。
最后通过浏览器地址栏直接访问设置的木马地址,成功得到远程服务器系统的权限,这样以后就可以控制远程服务器,进行挂马等任意的操作。
防范方法
网站管理员要想保护好自己的网站不被黑客入侵,需要从网站的多个方面入手进行防范。首先我们要确保网站系统没有已知的安全漏洞,有的话应该及早安装好安全补丁防止入侵。除此以外,我们还需要进行进一步的安全设置。
1.更改系统的默认设置
如果管理员从网站下载的是现成的网站系统的话,下载完成后应该按照说明修改重要信息的路径,尤其是默认的管理员密码、数据库的路径、后台管理页面等信息。
2.加强账号密码的安全强度
从最近出现的一系列网站系统漏洞我们可以看出,黑客在入侵后的第一步往往想得到的是管理员的账号密码。
而管理员的账号密码常常是经过MD5编码加密过的,因此黑客只有破解了账号密码后才能最后成功的入侵。因此管理员要加强自己的密码安全强度,可以利用现在网络中的MD5编码破解网站来验证密码的安全性。
如何防止9166.biz的ARP攻击
本周,名为9166.biz的恶意网站进入了我们的视线。多个安全论坛关于此问题的求助帖激增,读者们的举报信也纷至沓来,特别是一些局域网用户反映受此站攻击内部网络混乱。
我们立即对9166.biz做了调查,http://9166.biz/002/002.htm及http://9166.biz/1.htm等多个页面均挂有病毒。入侵系统后窜改浏览器及HOST文件,利用iframe嵌套代码导致打开任何网页时都会先读取此病毒,导致网速变慢甚至打不开网页。
通过进一步的分析发现,此病毒还有ARP攻击行为,局域网内用户一旦有一台电脑被入侵后将在全网疯狂传播实施ARP欺骗攻击,垃圾数据四窜,ping网关延迟,网速急剧下降,网内所有电脑都会被感染,杀毒软件不停报警可是无法彻底清除。
这让我们想起了不久前肆虐网络的5y5.us、7y7.us和16a.us等恶性病毒,看来这个将服务器设在境外的犯罪团伙还不死心,又炮制出一个9166.biz继续危害网络。
解决方法:
由于这类病毒均是由ANI光标漏洞蠕虫植入的,先下载安装MS07-17补丁。关闭IE浏览器及系统还原功能,并清空所有临时文件,删除HOST文件中的不明网址。并在路由器或IE受限地址中屏蔽9166.biz及对应IP。
使用“ARP防火墙”(http://www.onlinedown.net/soft/52718.htm#download)清除并修正被修改的网关MAC地址。
删除不明启动项,进入安全模式用360安全卫士清除被植入的恶意插件,杀毒软件全盘杀毒,如果杀毒软件无法启动,注意系统时间是否被非法窜改,最后全面修复IE。
本周其他流氓网站
3G播客网
恶意链接: www.2cdma.cn/v?htm?tuitan2cdma
举报人数:441
危害程度 ★★★
IP:58.52.161.203
利用恶意手段推广,二级页面嵌入病毒,弹出广告窗口。
防范方法:清空IE临时文件,删除不明启动项。进入安全模式用黄山IE修复专家清理,最后全盘杀毒。
jygame88.com
恶意链接:http://www.jygame88.com
投诉人数:392
危害程度 ★★★
IP:61.188.38.155
首页嵌有病毒,二级目录中藏有盗取网游“征途”账户的木马。更气人的是页面还放置了统计系统,记录受感染人数及IP地址。
防范方法:关闭系统还原功能,屏蔽此站域名及IP,删除不明启动项,清空临时文件夹。进入安全模式使用360文件粉碎机强制删除以下文件(显示隐藏文件)C:\WINDOWS\Microsoft\rundll32.exe、C:\program files\internet explorer\use6.dll、C:\WINDOWS\system32\dt.dll,用360安全卫士清除并修复被植入的恶意插件及HOST文件,最后全盘杀毒。
From:http://www.itcomputer.com.cn/Article/Network/201309/427.html