網絡游戲木馬防止淺談

在網絡游戲流行的今天，網管一定要了解怎樣防止和分析處理網絡病毒，保護顧客賬號的安全，去一次就丟號的網吧相信沒有一個人會喜歡。

“木馬”其實也是計算機病毒，是人為編制的程序，通過大量的統計分析，病毒作者的主要目的有幾種，一是一些天才的人為了證明自己的能力和實力而編寫，二是處于對上級的不滿，處于報復、好奇或者惡作劇，三是為了軟件拿不到報酬或者認為報酬太低而預留的陷阱，四是政治、宗教，民族、軍事、專利等方面專門編寫的，五是一些人為了得到更多的金錢和利益而編寫的木馬。我們這里要討論是防止對網絡造成損害和多網絡游戲應用者造成經濟損失或者其他利益損失的常見病毒的防范。也就是根據病毒的破壞程度來分的危險型和非常危險型的病毒。這類病毒輕則造成計算機系統嚴重錯誤和網絡運行癱瘓，重則刪除程序，破壞數據，清除內存區和系統中的重要信息，獲取網絡用戶的私密信息(游戲幣、游戲號碼、銀行應用信息，公司機密信息、商業用戶信息等)。這些病毒的傳播通常我們稱為攻擊。

網絡病毒常見攻擊方式

緩沖區溢出攻擊：通過往程序的緩沖區內寫入超出其長度的內容，造成緩沖區溢出，以達到攻擊目的，主要是獲取管理員的最高權限，以控制權限和獲取信息。

數據包嗅探：利用網卡的混雜模式來監聽網絡中的數據包，從而獲取TFPT、FTP、TELNET、SNMP、POP3等協議的明文傳輸口令信息，達到攻擊者的目的。

口令攻擊：是采用暴力破解、木馬等方式獲取用戶的有效身份，取得較高的權限，達到自己的目的。

端口掃描：對計算機系統的協議端口號進行掃描，獲取系統存在的漏洞和服務來達到目的。

另外，網絡上通常利用有誘惑性，誤導性的語言和圖片讓上網的人有意或者無意地去點擊，以引入事先準備好的木馬病毒安裝在網絡應用者的機器上，影響機器的運行或者獲取一些特定的利益。

上面分析木馬病毒的攻擊方式和傳播的途徑。下面介紹知道自己的機器是否中毒的一般方法。計算機病毒發作時，通常會出現以下幾種情況，這樣我們就能盡早地發現和清除它們。

1、電腦運行比平常遲鈍，這主要是病毒侵入以后，通常會啟動更多的進程，磁盤似乎花了比預期長的時間，病毒可能會花更長時間來尋找未感染文件。耗掉較多CPU和內存，導致和以前相比較遲鈍。這個時候要查看系統進程，看看是不是有什么特殊的或者不常見的進程，這些進程通常會占用較高的CPU和較大的內存。

2、程序載入時間比平常長，有些病毒能控制程序或系統的啟動程序，當系統剛開始啟動或是一個應用程序被載入時，這些病毒將執行他們的動作，因此會花更多時間來載入程序。這個時候我們一定要看看系統啟動進程是不是有大寫的英文進程名出現，如果出現的話，先結束這個進程，手動結束不掉的，可以采用查看進程的PID號，同時看看這些進程是用戶啟動的還是系統啟動的，因為一般情況系統啟動的進程都是較少的。

3，不尋常的錯誤信息出現，例如你可能得到以下的信息： write protecterror on driver A表示病毒已經試圖去存取軟盤并感染之，特別是當這種信息出現頻繁時，表示你的系統肯定已經中毒了。這個情況一般都是系統中毒后在復制文件和病毒自己需要的MSDOS啟動文件。最好去DOS狀態下看看系統文件的大概數量，這樣一般病毒會在其他盤符內有一些隱藏文件的出現。要結束不熟悉的進程，并去DOS或者安全模式下刪除那些隱藏文件。

4、當你沒有存取磁盤和不對機器做任何操作時，磁盤指示燈卻一直閃亮了，電腦這時已經受到病毒感染了。這是病毒在自動復制文件或者訪問系統其他盤符。

5、系統內存和CPU大量減少，有些病毒會消耗可觀的內存容量，曾經執行過的程序，再次執行時，突然告訴你沒有足夠的內存可以利用，表示病毒已經存在你的電腦中了。這時要看看系統進程，當占用CPU和內存較大的進程肯定有問題的，一定要想辦法結束這些進程，然后結束相關的進程樹。

6、磁盤可利用的空間突然減少，這個信息警告你病毒已經開始復制了。

7、壞道增加，有些病毒會將某些磁區標注為壞道，而將自己隱藏其中，于是往往殺毒軟件也無法檢查病毒的存在，例如Disk killer會尋找3或5個連續未用的磁區，并將其標示為壞軌。

8、內存內增加來路不明的常駐程序、文件奇怪的消失、文件的內容被加上一些奇怪的資料、文件名稱，擴展名，日期，屬性被更改過，這些都是明顯感染了病毒的現象。

所以無論是什么樣情況發生，一切都會體現在進程上出現，要經常關心系統進程和用戶進程，出現了不常見的進程先考慮結束這個進程。

通過上面的現象和分析我們知道了自己的機器是不是中了病毒。

常見網游盜號病毒

“武林大盜”變種XN(win32.PSWTroj OnlineGames.xn)：這個病毒是一個網游盜號賊，它會潛伏在受感染的電腦系統中，伺機注入系統進程里，創建信息鉤子，盜取網絡游戲“武林外傳”的賬號和密碼，并將其發送給木馬種植者。造成用戶的虛擬財產的損失。該病毒運行后，會釋放mh104.exe和mh104.dll病毒文件，修改注冊表，實現隨開機自動啟動，通過設置消息鉤子來盜取有效信息，發送到一些特定的地方去。

“西游大盜”(Win32.PSWTroj.OnlineGames)：該病毒是跟一般的盜號木馬行為相似，它會潛伏在受感染電腦中，伺機注入到網絡游戲“大話西游”的游戲進程，創建信息鉤子獲取游戲賬號和密碼，并將竊取的信息發送給木馬種植者。造成用戶的虛擬財產的損失。該病毒運行后，會釋放dh2103.dlI病毒文件，修改注冊表，實現隨開機自動啟動。自動查找WSWINDOW窗口，盜取有效信息，并將其發到惡意站點

“誅仙竊賊”(Win32.PSWTroj.OnlineGames.139264)：該病毒是一個網絡游戲的盜號賊，它跟一般盜號木馬相似，它會伺機注入到網絡游戲“誅仙”進程里，通過讀取進程內存的方式，獲取游戲賬號和密碼，并將其發送給木馬種植者，造成用戶虛擬財產的損失。該病毒運行后，會釋放kulionzx.exe和kulionzx.dll病毒文件，修改注冊表，實現隨開機自動啟動，盜取有效信息，并將其發送出去。

“征途大盜”變種SA(Win32.TrojPSWZhengtu.sa)：該病毒的惡意行為跟之前“征途大盜”相似，都是針對網絡游戲“征途”而來的，它會潛伏在受感染電腦的系統里，伺機注入到游戲“征途”的進程里，截取用戶的QQ賬號和密碼信息，將竊取的有效信息發送給木馬種植者，造成用戶網絡虛擬財產的損失。該病毒運行后，會釋放npkcrypt.vxd和ztconfig.ini等多個病毒文件，添加一個名字為LoginService的病毒服務，查找“征途”的客戶端窗口zhengtu_client，將竊取的賬號信息和密碼并發送出去。

“魔域大盜”變種Ds(Win32.Troj.3swGame.ds)：該病毒跟一般的盜號木馬病毒的惡意行為相似，它會潛伏在電惱系統里，伺機獲取網游“魔域”的登錄窗口，并記錄有效的賬號和密碼信息，將竊取的信息發送給木馬種植者，造成用戶的虛擬財產損失。該病毒運行后，會釋放wsttrs.exe和wsttrs.dll病毒文件。修改注冊表，實現隨開機自動啟動。此外，它還具備終止某些殺毒軟件的監控進程和自刪除的能

“傳奇大盜”變種WXX(Win32.Troj.PSWLmir.WXX)：該病毒是“傳奇大盜”的惡意改造版，跟之前版本的惡意行為相似，它會潛伏在電腦系統里，伺機獲取網絡游戲的用戶登錄窗口，并記錄用戶的鍵盤和鼠標的操作，將竊取的信息發送給木馬種植者，造成用戶的虛擬財產的損失。該病毒運行后，會釋放一個pt00132.exe病毒文件，修改注冊表，實現隨開機自動啟動。關閉KVXP_Monitor和木馬防火墻等多個安全軟件的殺毒窗口。

“天龍神偷”變種E(win32.PSWTroj.TLOnline.e)：該病毒是一個新的網絡游戲盜號賊，它跟一般盜號木馬的惡意行為相似，會潛伏在電腦系統里，監視網絡游戲“天龍八部”的用戶登錄窗口，記錄游戲賬號和密碼等有效信息，并將竊取的信息發送給木馬種植者，造成用戶的虛擬財產損失。該病毒運行后，會釋放多個病毒文件，修改注冊表，竊取游戲賬號和密碼，并將其發送到多個站點。

“完美世界竊賊”變種Lc(Win32.PSWTroj.XYOnline.lc)：該病毒會偽裝成受感染電腦中的系統進程，監視網絡游戲“完美世界”的游戲進程，創建信息鉤子，盜取游戲的賬號和密碼、金錢等有效信息，并將其發送給木馬種植者。造成用戶的虛擬財產的損失。該病毒運行后，會將自身復制到winlogOn.exe系統進程里，修改注冊表，實現隨開機自動啟動。搜尋并獲取完美世界的ElementClient.exe游戲進程，達到盜號的目的。

“夢幻西游大盜”變種Iu(Win32.Troj.XiYou.iu)：該病毒跟一般盜號木馬病毒的惡意行為相似，它會伺機注入到網絡游戲“夢幻西游”的游戲進程里，同時創建信息鉤子，獲取用戶的賬號和密碼等有效信息，并將竊取的信息發送到木馬種植者指定的惡意站點，造成用戶的虛擬財產損失。搜尋并注入該游戲進程my.exe，獲取相關的有效信息，然后將信息發送出去。該病毒運行后，會釋放nmhxy.exe和nmhxy.dll兩個病毒文930.com/game/xy234等站點。

另外最近非常流行的，機器狗、DUMMYCOM、JAVQHC、u盤病毒和JDWLI盜號木馬以及ATIV2XX等病毒，這些病毒使計算機系統的殺毒軟件無法啟用，在侵入時首先就修改殺毒軟件程序。無論是厲害的卡巴斯基、NOD32、還是國內的金山、瑞星都會自動關閉，無法啟動。一般都會在系統進程中啟動Isass.exe和smss.exe兩個用戶進程，但系統本身自己啟動了這兩個進程，如果出現這樣的情況，可以用360compkill和其提供的專殺工具進行查殺。查殺后一定要關閉計算機，同時關閉電源幾分鐘后再啟動系統，再次查殺。當然網吧也可以利用360還原保護器使用內核級防御體系，防御機器狗類穿透還原攻擊，保護已有的還原系統不被還原穿透攻擊，除了可防御已知機器狗病毒穿透還原，360還原保護器還可抵御以下可能發生的還原穿透攻擊：所有的磁盤設備脫鏈式穿透還原攻擊，所有的磁盤過濾饒過方式穿透還原，SCSI_REQUEST_BLOCK方式穿透還原，所有的PASS THROUGH指令穿透還原(RING3下穿透還原技術，保證還原系統正常工作，強烈推薦所有使用還原系統的網吧或個人用戶使用，使機器狗再也無法穿透你的還原系統。

常見盜號木馬防御方法

1、經常關注系統進程，發現可疑的立刻采取措施，對癥下藥。

2、經常對系統進行更新，時刻查找系統的漏洞，做到有漏洞及時打上補丁。

3、加強殺毒軟件的時候升級更新。經常多系統掃描、查殺病毒。

4、一定要在防火墻上下功夫，關閉掉一些很少用到的協議端口號，做好防范措施。

5、上網時一定注意不要輕易點擊一些誘惑性的語言和圖片。

6、下載軟件時，一定要看好下載連接的地址，以免誤下載到病毒。

經過長期的測試和應用，在殺毒軟件方面，卡巴斯機、NOD32是不錯的殺毒工具。防火墻安全衛士360是很好的，病毒庫更新非常快，特別對流行木馬病毒有很好防護功能，可以查殺到很多網絡木馬。