攻防演练 魔兽世界帐号的窃取与防范
攻击篇
作为一款出色的网络游戏,魔兽世界当然受到病毒的关注,攻击篇就讲黑客如何用一个木马程序窃取用户帐号的。
防范篇
上面讲了如何窃取帐号,那下面的内容相应的就是讲解如何防范了,我们辛苦打来的ID不能让黑客随意的窃取。黑客如何窃取魔兽世界帐号
首先盗号者需要准备魔兽世界木马一只,这是最基本的了,所有帐号密码都是有他来盗取了。魔兽世界木马种类也有很多种,有公开的也有没公开的,公开的魔兽世界木马在各大黑客网站都有下载,这里我推荐天龙工作室开发的魔兽世界木马,界面如下:
图一
其中邮件地址处填的就是我们接收帐号密码的邮件地址,下面几项就是邮件服务器设置项,右边就是用来发送帐号密码的邮箱地址,用户名密码,全部设置完后点击生成程序生成木马服务端。
接下来就是最重要的环节了,如何让对方不知不觉中中的你木马了,这里将给大家讲解两种利用方式。第一种是捆绑法,为了使中魔兽世界木马的大部分都是魔兽世界玩家,我们可以这个木马捆绑在魔兽世界插件上,然后向外界发布你这个捆绑了木马的插件说是最新插件,这样一定会有不少玩家依靠baidu和google找到你向各大网站发布的这个被动了手脚的插件了,这样玩家就会在体验插件的同时毫无知觉的中魔兽世界木马。至于如何捆绑木马到其他程序上,这里可以用到一些专门的文件合并工具,这里我们选用水晶情缘开发的“EXE文件合并粉碎机”进行文件合并,软件界面如下:
图二把2个程序选择进去,然后提取正常程序的图标点击开始合并即可完成捆绑工作,接下来你就可以把捆绑好木马的程序到各大软件下载网站发布了,加点迷惑信息,就声称是最新的魔兽世界插件,这样就会有大量的玩家来下载插件用了,当然也在悄然无息中运行你的魔兽世界木马了。曾经在前一段时间,大脚(bigfoot)合作站点NGACN已经发布公告承认大脚被种入木马的事实,但大脚(bigfoot)官方站http://www.wowinside.net对此事只字未提,而月光宝盒(17cube)至今为止没有对此事做出任何说明和道歉。让人不得对这两大插件提供商感到遗憾,一方面不遗余力的推广自己的插件获取用户。一方面却不能保障插件的安全性。甚至在出现如此严重的盗号事件后也仅仅是一笔带过。完全没意识到事件的严重性。据悉,国内三大整合插件大脚和月光宝盒以及这次幸免于难的魔兽精灵(WoWshell)使用用户加起来超过150万用户,一旦客户端被种入木马,后果不堪设想。此次事件也暴露出国内整合插件提供商安全性完全没有保障的事实。Bigfoot,17cube,WoWshell等整合插件提供商都属于个人网站,其存放插件下载的服务器都属于租用的服务器,安全防范意识相对较差。一旦被黑,使用这些整合插件的用户更新插件就可能被种上木马,造成大规模的帐号被盗。在这次提供插件下载的官方网站服务器被黑,到致使一部分玩家帐号不翼而飞,整个过程就是盗号者对捆绑插件的利用,当然他们的捆绑方法要远远高于上面介绍的捆绑方法。
第二种方法就是利用网页木马来传播你的魔兽世界木马了,这样你需要一个个人的网页空间,网站提供各种与魔兽世界相关的软件动画下载,不过我们在网站首页加上一句 >的代码,这样别人在浏览你的网页的同时也就悄然无息的中了你配置好的木马了。如果你有一定的黑客技术的话,就可以黑掉一些第三方的魔兽世界交易网站在他首页上加上这么一句,那么魔兽帐号就会源源不断的跑到你的邮箱里来。就算你没有一定的黑客技术的话也不要紧,找一些和魔兽世界有关的游戏论坛,因为到目前为止所有的论坛都有一个通性,就是允许用户在论坛贴flash动画,这样也就无形中给木马提供了藏身的温床,我们可以制作一个特殊的flash张贴到各大魔兽世界讨论论坛,其flash的制作方法也很简单,先到网上下载一个十分火热的flash动画,然后在本地对下载回来的flash进行编辑,接下来打开flash制作工具,选择文件菜单下的导入到库选项把刚下载下来后缀为swf的flash文件导入到库中,接下来选择窗口菜单下的库选项打开库面板,再双击刚导入进来的swf的影片剪辑进入编辑状态,接下来再选择时间轴上的第一祯,再点击场景下面的动作面板将动作面板展开,如下图所示:
图三
再选择动作面板下的浏览器网络下的getURL,然后我们在右侧的URL文本框中写下我们的木马网页,这时时间轴的第一祯上就会出现一个符号,这就说明我们的动作脚本添加好了,影片剪辑编辑好了,我们再把这个影片剪辑拖到主场景中,重新生成一个flash即可。把生成的flash上传到你的空间,最后就是到各大论坛上去张贴你的flash了,这样当别人浏览你发的帖时就会自动访问你的木马网页了,这样也就自动执行了你做好的木马了。至于前面所说的网页木马制作,我们可以使用动鲨网页木马生成器,其界面如下:
图四首先把你前面配置好的魔兽世界木马的服务端上传到你空间,并记下他的地址,然后在图三中的最下面文本框输入你的木马地址,再点击生成网页木马就可以傻瓜式的生成网页木马了,把生成的所有文件再上传到你的空间里,最后把iframe里的网页木马地址改成刚生成的网页木马地址即可。现在这里我再给大家演示下盗取魔兽世界帐号密码的效果,如下图所示的,魔兽世界登陆界面:
图五
其中帐号密码我随便填的,事先我已在这台电脑上种植了魔兽世界木马,我们点击登陆以后,再到我们接收帐号密码的邮箱里去看,我们会发现我们的邮箱里多了这样一封邮件:
图六
看见了吧,输入的用户名密码都在里面了,是不是很爽。如何防范魔兽世界密码被盗
在前面我们已经介绍了如何盗取魔兽世界帐号密码,在同时我们也应该要学会如何保护我们自己的帐号密码。
第一,此木马实质上是对键盘的记录,我们可以采用中间插入法输入帐号密码了,例如:原帐号为123j456我们可以这样输入,先输入123456,然后再使用鼠标点击3和4之间的位置,再输入j,这样他就会把帐号记录为123456j了,这样他得到的就是错误帐号了。
第二,不要浏览一些与魔兽世界相关的不正规的网站,如果要下载相关资源就到一些官方或正规的大型站点下载,下载以后先使用杀毒软件进行扫描,在确认没有木马的情况下使用资源,一般杀毒软件查出魔兽世界木马的病毒名为Trojan.PSW.WoWar.m。
第三,希望官方网站杂提供插件下载的同时公布出插件的大小,用户在下载插件以后查看其属性,确认下载文件是否与官方公布的插件大小是否一致,方可使用,因为在软件在被做了捆绑以后体积都会比以前的文件有所增大。
第四,在浏览网页的时候把杀毒软件置为实时监控,并保证杀毒软件为最新病毒库。
第五,在网吧上网时输入密码一定要熟练和迅速,防止被人为的偷看密码,并经常修改自己的密码。
第六,不要轻易打开陌生人传过来的程序或者网页,无论对方说的是如何好听。
第七,每隔一段时间就检查一下自己电脑的启动项,因为一般木马都将在这些地方藏身。让Windows自动启动程序的办法很多,最重要的地方有10个,可归纳为两个文件夹和八个注册键,下面将列出这十个地方:
1.当前用户专有的启动文件夹
这是许多应用软件自动启动的常用位置,Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在:\Documents and Settings\<用户名字>\“开始”菜单\程序\启动,其中“<用户名字>”是当前登录的用户帐户名称。
2.对所有用户有效的启动文件夹
这是寻找自动启动程序的第二个重要位置,不管用户用什么身份登录系统,放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所在。该文件夹一般在:\Documents and Settings\All Users\“开始”菜单\程序\启动。
3.Load注册键
介绍该注册键的资料不多,实际上它也能够自动启动程序。位置:HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load。
4.Userinit注册键
位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe,但这个键允许指定用逗号分隔的多个程序,例如“userinit.exe,OSA.exe”(不含引号)。
5.Explorer\Run注册键
和load、Userinit不同,Explorer\Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有,具体位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run。
6.RunServicesOnce注册键
RunServicesOnce注册键用来启动服务程序,启动时间在用户登录之前,而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce。
7.RunServices注册键
RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行,但两者都在用户登录之前。RunServices的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices。
8.RunOnce\Setup注册键
RunOnce\Setup指定了用户登录之后运行的程序,它的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup。
9.RunOnce注册键
安装程序通常用RunOnce键自动运行程序,它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序,运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP,你还需要检查一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx。
10.Run注册键
Run是自动运行程序最常用的注册键,位置在:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行,但两者都在处理“启动”文件夹之前。
以上就是10大系统自启动程序的地方了,目前魔兽世界木马出现最多的进程就是smss.exe了,大家可以去上面介绍的地方去查看键值是否已经被修改成了smss.exe。在查看注册表自启动项时注意看他木马程序的路径,在删除启动项键值后再按键值中的路径找到木马程序并删除木马程序本身(注意在删除木马程序前应该先打开任务管理器结束掉木马的进程)。
到这里整个魔兽世界盗号及防范就讲完了,希望大家能灵活运用,研究出自己的一套攻防方案出来。
声明:本文只为大家了解相关知识所用,任何人不得利用本文做非法的活动,否则后果自负。
- 最新评论