[转载]魔兽盗号木马,wow盗号木马分析 魔兽盗号木马主要是如许运作：

　　1. 感染

　　wow盗号者一般把魔兽盗号木马放在网页上,或者利用网页的JS脚本、ActiveX插件等功能把魔兽盗号木马下载到用户电脑上，强一点的还把魔兽盗号木马绑定到图片、动画、视频里，然后诱骗用户点击。还有就是把魔兽盗号木马绑定到一些程序中，尤其是外挂程序。甚至很多外挂程序本身就是wow盗号木马。 中招的用户，一般是浏览过一些伏羲八卦网站，被诱惑点击过某些图片、动画、视频，或者运行过某些来历不明的程序。

　　2. 潜伏与拿获

　　现在的新型魔兽盗号木马会把自身功能模块（或者自身程序代码）写入WINDOWS的体系文件中，例如资源管理器EXPLORER.EXE，声卡、显卡的驱动程序等，就如许潜伏了下来。而且就总算安全标准样式，一开机wow盗号木马城市被XP体系加载，比以前的魔兽盗号木马通过修改注册表来启动加载高明多了。 wow盗号木马被加载后就被拿获了。现在的新型魔兽盗号木马，拿获后是没有独立的内存进程的，查看内存进程是看不到它的。那末它潜藏在哪里呢？？？它把自身注入到没事了的体系进程SVCHOST.EXE中去了，XP体系起码有五个SVCHOST.EXE进程，是负责用户上网功能的（不要随便关闭这些进程哦，会上不了网滴），wow盗号木马随便找个进程都能潜藏进去。

　　3. 监督与窃取

　　魔兽盗号木马会监督用户的活动，监督用户电脑内存的特定进程----例如游戏程序的进程（wow的WOW.EXE），并记载用户在该进程输入的账号、密码等信息。 大都wow盗号木马会偷偷地主动连接收集和向外发送记载到的信息，但如许容易被某些杀毒软件和防火墙发现。以是有一些设计巧妙的魔兽盗号木马它会静静地等，一直等到接到盗号者的指令才会把记载的信息发送出去。 无论怎么样，用户的账号、密码是被盗号者偷到手了。

　　4. 木马诈骗密保卡

　　对绑了密保卡的用户，盗号者偷到了WOW账号、密码还是没用。盗号者会怎么做呢？木马+骗术。 先看骗术，用虚伪中奖信息诈骗是常见手段，还有啥子打折充值、代练什么的，目的是骗用户说出盗号者想要的WOW密保卡RAND密码，然后登录上来抢光，等被踢下线的用户再登录上来，身上已光溜溜的了（前后不到一分钟）。 再看魔兽盗号木马， 以wow为例，说说盗号者是怎么把绑了密保卡的账号盗取的。 盗号者用盗到的账号、密码登录9C的账号管理中心，改密码，再选择换wow密保卡。换卡要先输入原密保卡的三组密码。于是盗号者对木马拍发指令，这时候 密保卡用户会在玩游戏时俄然掉线（不关电信和9C的事，是木马搞的鬼），然后出现要求用户输入密保卡上的三组密码的提醒，而这个输入密保卡密码的界面是木马程序搞出来的，不是游戏程序的，但是因为搞得跟真的同样，一般用户难分真假，而要求输入的三组密码正是……。

　　不明底细的用户，稀里懵懂地输入了wow密保卡密码，结果就是盗号者用他手上的密保卡替代绑定了这个账号，账号彻底易主。 但盗号者是不会亏本的，用密保卡绑定的账号，怎么也值点钱的，不值钱谁会去绑。

　　wow怎样防木马,怎么防盗号？

　　一、守身如玉，不要受诱惑点击不明连接，不要访问那些杂七杂八的网站，不使用外挂。

　　2、杀毒软件+防火墙、密保卡仍然是必不可少，能大大降低你被盗号的机会。 杀毒软件推荐卡巴斯基互联网安成套装，优点就不说了，错误谬误是占内存，没512M以上内存不要用，不然会卡到死机-_-!另外一错误谬误是暴力杀毒，WINDOWS体系文件感染了病毒被它强制进行删了，结果是毒没了，体系也启动不了了。(啥子，你说误杀和瑞星？那是因为和瑞星耍地痞，放与"广告木马"同样的东东到用户电脑里)

　　3、提高警惕，以防被骗。现在很多网游都推出了密保卡，要警惕各种骗局，特别是要你密保卡RAND密码的。

　　wow盗号木马分析,这段又有两款魔兽盗号木马盛行：

　　一、盗号木马名称：Trojan/PSW.Moshou.aqn

　　中文 名："魔兽"变种aqn

　　病毒长度：14848字节

　　病毒类型：盗号木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/PSW.Moshou.aqn"魔兽"变种aqn是"魔兽"木马家族的最新成员之一，采用VC++语言编著，并颠末加壳处理。"魔兽"变种aqn运行后，在被感染计算机的指定目次下释放歹意DLL组件文件，并将该文件注入到体系"explorer.exe"等某些关键性的进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自己主动运行。在后台奥秘监督用户打开的窗口标题，盗取收集游戏《wow》、《惊天动地》和《犯险岛oline》玩家的游戏账号、游戏密码、身上衣备、背包装备、角色等级、金金额量、游戏区服等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，造成玩家的游戏账号、装备物品、金钱等丢失，给游戏玩家带来非常大的丧失。

　　2、盗号木马名称：Backdoor/ASP.Ace.ch

　　中文 名："高手"变种ch

　　病毒长度：31654字节

　　病毒类型：后门

　　危险级别：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Backdoor/ASP.Ace.ch"高手"变种ch是"高手"后门家族的最新成员之一，采用ASP脚本语言编著，并且颠末加密处理。"高手"变种ch利用存在上传漏洞的WEB服务器网站入侵WEB服务器网站空间、窃取WEB服务器网站空间信息资料。"高手"变种ch可在远程WEB服务器上对文件进行肆意操作，包括浏览文件、复制文件、粘贴文件、上传文件、下载文件、编纂文件、删除文件等。骇客有可能会利用"高手"变种ch作为跳板，从而获取整个WEB服务器主机的管理权限，纯粹控制WEB服务器，窃取WEB服务器主机中的重要机密资料，严重威胁WEB服务器信息安全。

　　别的，有一款据称是可以"破解PIN码"的《wow》盗号木马--"魔兽占有者Ⅲ"导致广泛关注。在一部分玩家群中导致了恐慌，担心本身的帐号不保。

　　网友下载并实验了该木马软件，得出以下论断：

　　【魔兽盗号木马道理】

　　此木马运行后,首先寻找WOW的窗口，如果找到，则把WOW窗口调治到1个固定大小,并且把WOW窗口移动到屏幕左上角对齐,然后使'最大化'这个按钮变灰,如许pin的屏幕键盘位置的坐标就固定了,然后木马对这个区域截图,如果你输入了4位数的pin码,木马就得到了4张小图片,每个图片包含1个数码,最后利用图片辨认技能，就得到了你的pin码。

　　【魔兽盗号木马特性】

　　此木马特性很较着，各人运行wow的时辰如果发现wow窗口大小和位置与平时纷歧样，并且'最大化'按钮是灰色的，那末毫无疑问你中了该木马，请立刻遏制登入游戏，并按照下面的方法杀毒。

　　【魔兽盗号木马杀毒办法】

　　木马运行后，会在注册表里生成1个键值

　　香港LMSOFTWAREMicrosoftWindowsCurrentVersionRun

　　键名:Systems32

　　察看此键,会瞥见木马的位置和名字，我的是 C:WINDOWSSystem32muma.exe

　　这个muma.exe有可能是别的名字，咱们同一命名成xxx.exe

　　断根办法很简略，找到名为xxx.exe的进程，结束之，然后删除Systems32这个子键，最后删除windows目次system32目次下的xxx.exe即可，到此木马纯粹断根。

　　咱们目前尚不能确认该网友总结出的论断是不是纯粹正确，但可以肯定的是这款木马软件的确存在！并有威胁玩家帐号纯粹的隐患。

　　但是玩家们也不必太甚紧张，以下是咱们给您的一些忠告：

　　?该wow盗号木马软件必需在本机安装。因此如果是在家中上网的玩家中魔兽盗号木马的有可能性很小。

　　?该wow盗号木马运行的特性是会自己主动调整WOW窗口大小，并锁定"最大化"按钮。如果你发现在启动游戏的时辰窗口有异样变化，并被移动到屏幕左上方对齐，或者在输入帐号密码和PIN码时觉得呆板俄然变卡……等等情况的时辰，立即遏制登陆游戏，并查看进程中是不是有异样程序，立即查杀病毒。

　　?该wow盗号木马有可能使用了Hook截取一段技能，可以截取一段玩家的键盘（和软键盘）输入信息。即使它可以准确分析出玩家使用逆序、乱序方法输入的密码，也不必太担心。咱们教您最有用的一招：在启动游戏前打开1个临时记事本，输入帐号和密码，然后启动游戏利用Ctrl+C / Ctrl+V（复制/粘帖）方法输入，如许纵然病毒再高明也无法准确破解出您的密码。

　　?一般的wow木马都是在您启动 wow.exe 这个程序的时辰一起被启动的。因此咱们再交您别的1个有用的方法--修改游戏程序名。即是把《wow》文件夹中的 wow.exe 修改成别的命名，例如：abcd.exe。这种发放可以有用过滤掉一些盗号木马的启动。

　　?"魔兽占有者Ⅲ"是一款必需在本机植入的wow盗号木马，因此常到网吧或其他大众场合上网的用户要特别小心。

　　?在大众场合上网的朋友最好在游戏登陆和登出的时辰都要通过安全锁锁定帐号，并修改一次密码。

　　?请给您的帐号设置安全度最高的保险措施。手机绑定、安全锁、PIN码1个都不能少！

　　?PIN码并不是无用的，至少目前很少有木马能破解它。至于"魔兽占有者Ⅲ"咱们只是推测其功能，并不能纯粹证实其真实性。还是那句话--"有总比没有强"。以是请务必您申请好安全锁+PIN码，两重密码掩护您的帐号。并记得时常变换您的登陆密码，以及PIN码。