技术 > 传奇木马
目录
传奇木马简介
  如今国内传奇游戏玩家众多,网上虚拟装备交易火爆,一件好的装备或高级的账号卖出上千块人民币已不足为奇,于是大批针对传奇游戏的木马病毒涌现。当你运行某个含木马外挂、或者点击了陌生人发来的email附件,打开恶意网站网页的时候,木马就会潜入你的电脑,一旦你登陆传奇游戏,木马就会偷偷记录你键入的帐号密码,发送给它的主人,盗取装备或高级帐号,供盗号者出售获利。
当前流行的传奇木马
  目前专门针对传奇游戏的木马很多,而且不断出现新变种,这类木马刚开始偷账号密码,现在已经发展到能阻止杀毒软件、反木马软件的运行,其中危害较大的有网吧传奇杀手、传奇男孩、传奇黑面、传奇盗号木马、蜜蜂大盗。
  1、网吧传奇杀手(trojan.psw.lmir.qh)
  该木马破解了传奇游戏的加密解密算法,专门针对在网吧玩“传奇”游戏的用户。只要有人在网吧中一台电脑上运行此木马,整个网吧全体传奇玩家的账号密码、装备等信息就会被偷走,相当恐怖!因为该木马会截取局域网中的数据包,分析“传奇”游戏通讯协议,从而截获网吧内所有玩家的信息。
  2、传奇黑面(win32.troj.mir2hak)
  传奇黑面会监视玩家的输入,自动记录你键入的传奇账号密码,并发送到病毒作者的邮箱中,给你带来经济损失。该木马发作时会将自己拷贝到windowssystem32目录下,木马及其dll文件的名称,与windows系统程序及其dll文件非常相似,你稍不注意还以为它们是系统文件,具有很大的欺骗性。
  3、传奇男孩(troj.mirboy)
  传奇男孩是针对传奇游戏的木马病毒,专门偷取用户的传奇账户与密码,发送到黑客指定的邮箱中。该病毒侵入玩家电脑后,会将自身拷贝到系统目录,然后在注册表中修改键值,以便系统启动时自动加载;它还会终止系统中各类反病毒软件,例如天网防火墙、zonealarm等。
  4、传奇盗号木马(win32.troj.sincom.e)
  该木马运行后会窃取用户的传奇账号和密码,并把这些信息发送给木马种植者,导致被感染机器的玩家,在传奇游戏中的角色完全被他人控制。另外,它还会关闭常见的杀毒软件,防止自己被杀毒软件清除掉。
  5、蜜蜂大盗(win32.troj.mifeng70)
  该木马偷窃传奇游戏的密码,并将密码发到指定的信箱。此外,它还能盗窃以下软件的密码:qq、奇迹、千年、红月、倚天、决战、大话西游、石器时代、遗忘传说、dvaq。木马运行后会将自身复制到系统目录下,文件名保持不变,在系统安装目录中生成isun0404.exe、isun0804.exe、isuninst.exe;在注册表主键hkey_current_usersoftwaremicrosoftwindowscurrentversion un下添加键值"internet"="%system%"\%virusname%";对注册表主键hklmsoftwareclasses xtfileshellopencommand修改键值"默认"="%system%"\%virusname%" "%1";在c:autoexec.bat中添加内容net stop "internet connection firewall(icf)/internet connection sharing(ics)">c:bootex.log
  木马运行后硬盘会狂运作,监听udp2222端口,监视杀毒软件木马克星、瑞星。木马通过http://ip.loveroot.com/showip.php获得感染机器的ip信息,会到http://freehostwebsamba.com/ryabcdefg/mf6db/index.asp?eve=gip&mailid=检查是否被注册。
传奇木马防范篇
  今年的传奇木马非常猖獗,有些黑客网站竟然公开在网上贱卖带有后门的木马病毒,教唆别人用木马盗窃密码,为网上木马的泛滥推波助澜,广大传奇玩家现在一定要有安全意识,否则下一个丢密码的将会是你!为此,你应该采用以下的防范措施:
  一、及时安装升级杀毒软件
  在网吧等公共场所上网时,你一定要选择有杀毒软件保护的正规网吧,以免自己的游戏帐号被盗,要知道“网吧传奇杀手”可以窃取网吧内全体玩家的密码!注意查看网吧安装的杀毒软件,瑞星杀毒软件16.35.20以上版可以彻底查杀“网吧传奇杀手”病毒。另外,游戏前要查杀一下自己的电脑,下网前一定要更换自己的密码,下次游戏时使用新密码。
  如果你在家上网,应该安装带有隐私信息保护的杀毒软件(例如kv2004、诺顿安全特警等),注意及时升级到最新病毒库,打开病毒实时监控,因为有些比较厉害的木马,如果杀毒软件未升级到最新版是查不出来的。
  此外,你还要启动杀毒软件的隐私信息保护监视功能,将传奇账号及密码设为隐私保护状态,这样即使你不小心中了木马,也不用担心帐号、密码被木马窃取。
  二、安装第三方防火墙
  建议你安装诺顿安全特警、zonealarm pro、天网防火墙、金山网镖6等第三方防火墙,这些防火墙功能强大,一旦发现木马病毒和黑客入侵,就会自动报警,而且还可以保护你的游戏帐号密码等隐私信息,确保你上网安全。
  其中金山网镖6有一个独特功能,就是可以检查你的系统是否有漏洞,如果查出漏洞,它还会让你下载安装补丁、堵住漏洞。建议你上网前用它检查一下,然后再启动第三方防火墙上网玩游戏。下面我们介绍诺顿安全特警、zonealarm pro的使用方法,其他防火墙限于篇幅,我们就不展开介绍了。
  1、诺顿安全特警
  最新版本:诺顿安全特警2004中文版
  软件大小:77,483kb
  运行平台:winxp/2000/nt/me/9x
  诺顿安全特警(nis2004)是塞门铁克公司推出了优秀的网络安全软件,具备个人防火墙功能,能够查杀木马病毒、进行入侵检测;具有“隐私控制”功能,可以防止你的帐号密码被盗。只要你将所有的游戏帐号、密码,都添加到诺顿安全特警的保护列表中,当你使用“web”、“即时信息”和“电子邮件”程序时,诺顿安全特警会保护你输入的信息。只要你在任何一个网页、邮件或是即时消息中,输入与保护信息相关的内容,诺顿就会自动将它全部转换成“*”。即使木马将你的密码信息,通过邮件或其它手段发给它的“主人”时,对方看到的也只是“*”,这样一来就确保了密码的安全。
  2、zonealarm pro
  最新版本:5.5.062.004
  软件大小:6499kb
  运行平台:winxp/2000/nt/me/9x
  zonealarm是目前最优秀的个人综合防火墙,它功能强大,易于操作,提供了防火墙功能,可以防止木马在你的电脑中偷偷作乱,具备邮件监视、网页过滤、弹出广告屏蔽功能,同时还具有强大的网关管理功能,能够让高级用户制定专家级的规则,自由控制上网资源。
  与其他个人防火墙软件相比,zonealarm占用资源少,能保护个人隐私安全,只要你在zonealarm中如下设置,即可阻止木马发送你的密码。
  设置方法:单击“id锁”,在“常规”选项卡中,把“id封锁”调为“高”;然后打开“个人隐私”选项卡(如下图),点击“添加”按钮,输入要保护的帐号、密码,把你的密码全部添加进去。这样以后一旦你的密码向外发送,zonealarm就会报警,即使对方收到密码,也全部都是“*”而无法阅读。
  三、使用专杀木马的软件
  有些传奇木马,运行后会自动关闭杀毒软件和防火墙,这时候,专杀木马工具就有用了,它们可以查杀系统中的木马。目前专杀木马的软件很多,著名的有金山毒霸木马专杀、木马克星、trojanhunter、anti-trojan shield、the cleaner professional、木马清除大师等。
  1、木马克星(iparmor)
  软件版本:5.46
  软件大小:3709kb
  木马克星是国人开发的一款防杀木马的软件,擅长查杀国产木马、对查杀最近非常流行的网络神偷、网吧杀手、键盘幽灵以及捆绑在图片文件中的木马非常有效。它体积不大(安装文件只有3.7mb),可以用闪存随身携带,方便你在网吧电脑中安装使用。
  2、金山毒霸木马专杀工具
  软件版本:2004.9.27.2
  软件大小:9.06 mb
  金山木马专杀是一个木马专杀工具(能查杀2万多种木马),可以有效地保护你的qq号码、网游以及网络支付安全,快速清除远程控制型、盗取密码型、进程注入型木马以及反弹端口型木马。
  3、其他木马专杀软件
  除了金山毒霸木马专杀、木马克星,还有许多木马专杀软件,例如trojanhunter、anti-trojan shield、the cleaner professional、木马清除大师等,使用方法大同小异,这里我们就逐一介绍了。
  木马专杀软件名 最新版本 大小 下载地址
  trojanhunter 3.9 6942kb 下载
  anti-trojan shield 1.4.15 4451kb 下载
  the cleaner professional 4.1 4519kb 下载
  木马清除大师 2.15 4634kb 下载
  四、使用进程查看工具
  有些木马运行后,会强制关闭反木马软件,因此你的电脑中,木马专杀软件就不能运行了,这时候你可以使用进程查看工具,例如进程杀手、icesword、柳叶擦眼、系统查看大师、winproc等,用它们来检查系统中的进程,看看有没有可疑的进程,如果发现可疑进程立刻封杀之,常见的传奇木马进程如下:
  木马名 运行的进程名 木马文件的位置
  传奇幽灵 internet c:windowsinternet.exe
  传奇叛逆 intel c:windowssysteminternet.exe
  传奇密码使者 microsoft c:windowssystemcleanmgl.exe和c:windowssystemsticpl.exe
  传奇猎手 winsys c:windowssystemwinsys.exe
  传奇终结者 scanrewc:windowsscanrew.exe
  传奇天使 kiss c:windowskiss.exe
  传奇黑眼睛 taskmon32 c:windows askmon32.exe
  进程查看工具下载地址:
  manasoft进程管理
  windows进程管理大师
  飞鹰超级进程管理器
  日华进程管理器
  进程管理
  五、其他注意事项
  为了防范传奇木马,在设置密码时,应该尽量复杂一点,最好设置为8位数以上的字母、数字和其他符号的组合。建议你尽量避免将游戏帐号暴露在公众论坛和其他网站;不要安装和下载一些来历不明的软件,特别是一些所谓的女神外挂程序;不要随便打开来历不明email的附件。
  为防范密码被盗,你可以准备两个常用的密码,在登陆游戏时交替使用。本次输入一个密码,登陆游戏使用完毕后,立即更改一下密码,下一次就用新密码登陆。或者在键入传奇帐号密码时,采取乱序输入法。例如密码是xyz2003,输入时不要按顺序一次输入,这样键盘会被木马直接记录下来!你可以先输入“003”,然后把光标移到最左边再输入xyz2,这样你输入的密码依然是“xyz2003”,但木马记录的却是“003xyz2”,从而保护了密码。此外,输入帐号密码时,也可以采取复制粘贴法。即打开记事本,新建一个文本文件,键入密码后复制,然后关闭文本文件(不要保存)。当要输入密码时,用“ctrl+v”把密码粘贴到密码栏里,这样木马就不能把你的键盘输入记录下来。
传奇木马原理及分析
  从“有事q我”到“有事m我”的改变,就是传奇在中国的流行程度的充分说明!
  传奇木马,可分为两类:
  一类:键盘记录型传奇木马(俗称钩子)
  二类:句柄型传奇木马
  键盘记录性木马,这类木马已经风流过时,缺点太多,最重要的是准确率不高,记录效果不如人意,得到的密码还需要整理与分析。如早期的“传奇键盘记录器”。
  句柄型木马,是最新使用的一种。现在许多木马都开始采用这手法,准确率高,都知道“黑眼睛”她就是采用的这种方法的佼佼者。
  现在使用到了句柄类传奇木马五花八门,在网络上公布的大概也只有这四种:
  1、传奇叛逆
  2、传奇密码专版
  3、传奇密码宝贝
  4、传奇异度灵盗
  1、传奇叛逆
  采用visal
  basic5编译,程序运行稳定,不过由于vb不太适合网络编程,所以程序运行的时候必须有winscok这个控件进行网络响应。没有这控件那程序就非法了,我用的时候就碰到过:(,他的系统启动项是internet,如果大家想删掉它就查找这个文件删掉啦~他程序大小约50k,做木马这大小很合适了。可绑捆程序,但是第一次使用它必需重新启动计算机。总体使用的感觉还行啦!
  2、传奇密码专版
  采用delphi编译,delphi编译的东西没话说,这程序运行绝对稳定啦!他的系统启动项是scanreges,一样啦,想删就删它,程序大小约170k。由于程序过大所以捆绑程序的体积不宜过大!做为单一或宽带网页木马的确不错,因为他使用稳定网络反映也很快,所以总体使用感觉特别好啦!:)
  3、传奇密码宝贝
  采用delphi编译,程序运行不太稳定喔!我搞不明白作者为什么加一个hook?而且差不多能收到邮件差不多时又收不到。他的系统启动项是inter,程序大小约220k,做为木马真不太适合啦!又得下载那么多东西而且还得在传奇目录。总体感觉一般!需要改进的地方很多。
  4、传奇异度灵盗
  采用c编译,使用的时候一封邮件没收到,反而由于程序采用了病毒手法,删了木马windows使用就不正常了。
  程序大小60k。
  下面是我对各传奇木马的分析:
  传奇木马 编程语言 系统启动 程序大小 推荐度
  叛 逆 vb internet 50k 中
  密码专版 delphi scanreges 170k 高
  密码宝贝 delphi inter 250k 中
  异度灵盗 c exe files 60k 低
传奇木马原理及分析
  从“有事Q我”到“有事M我”的改变,就是传奇在中国的流行程度的充分说明!
  传奇木马,可分为两类:
  一类:键盘记录型传奇木马(俗称钩子)
  二类:句柄型传奇木马
  键盘记录性木马,这类木马已经风流过时,缺点太多,最重要的是准确率不高,记录效果不如人意,得到的密码还需要整理与分析。如早期的“传奇键盘记录器”。
  句柄型木马,是最新使用的一种。现在许多木马都开始采用这手法,准确率高,都知道“黑眼睛”她就是采用的这种方法的佼佼者。
  现在使用到了句柄类传奇木马五花八门,在网络上公布的大概也只有这四种:
  1、传奇叛逆
  2、传奇密码专版
  3、传奇密码宝贝
  4、传奇异度灵盗
  1、传奇叛逆
  采用Visal
  Basic5编译,程序运行稳定,不过由于VB不太适合网络编程,所以程序运行的时候必须有winscok这个控件进行网络响应。没有这控件那程序就非法了,我用的时候就碰到过:(,他的系统启动项是Internet,如果大家想删掉它就查找这个文件删掉啦~他程序大小约50K,做木马这大小很合适了。可绑捆程序,但是第一次使用它必需重新启动计算机。总体使用的感觉还行啦!
  2、传奇密码专版
  采用Delphi编译,Delphi编译的东西没话说,这程序运行绝对稳定啦!他的系统启动项是Scanreges,一样啦,想删就删它,程序大小约170K。由于程序过大所以捆绑程序的体积不宜过大!做为单一或宽带网页木马的确不错,因为他使用稳定网络反映也很快,所以总体使用感觉特别好啦!:)
  3、传奇密码宝贝
  采用Delphi编译,程序运行不太稳定喔!我搞不明白作者为什么加一个HOOK?而且差不多能收到邮件差不多时又收不到。他的系统启动项是Inter,程序大小约220K,做为木马真不太适合啦!又得下载那么多东西而且还得在传奇目录。总体感觉一般!需要改进的地方很多。
  4、传奇异度灵盗
  采用C编译,使用的时候一封邮件没收到,反而由于程序采用了病毒手法,删了木马windows使用就不正常了。
  程序大小60K。
  下面是我对各传奇木马的分析:
  传奇木马 编程语言 系统启动 程序大小 推荐度
  叛 逆 Vb Internet 50K 中
  密码专版 Delphi Scanreges 170K 高
  密码宝贝 Delphi Inter 250K 中
  异度灵盗 C Exe files 60K 低
包含词
传奇木马简介传奇木马防范篇传奇木马原理及分析
当前流行的传奇木马