职业玩家网繁体中文
职业玩家首页 职业玩家首页
 特色栏目≥  玩家招聘  直销商城 收货网站大全  客户端下载  工作室黄页  打钱视频  新游注册  玩家论坛 
 热门话题≥  工作室建设  盗号与封号  交易防骗  海外官方  插件/外挂  代理服务器  CDK月卡  价格比较  手机|IP查询  工商银行  支付宝  游戏美图

  当前位置:首页 > 行业新闻 >> 业内新闻 >> >

“酷狮子”系列盗号木马原理

2008-03-04 16:28:02  作者:  来源:互联网    文字大小:【】【】【
酷狮子"系列盗号木马原理


"酷狮子"系列木马的各个变种行为基本一直,有一个EXE文件,并且能释放DLL文件。 "酷狮子"木马样本加载过程: "酷狮子"木马先把自己复制到Windows目录,并释放DLL到Windows目录下。接下来检查当前运行的目录是Windows,网游还是其他。当前目录是网游的情况,会先运行网游客户端,然后运行刚才复制到Window目录下的程序。当前目录是Windows的情况会加载DLL部分,然后处于等待状态。DLL成功盗号后,盗号EXE结束执行。当前目录是Windows的情况会加载DLL部分,然后处于等待状态。DLL成功盗号后,盗号EXE结束执行如果当前目录不在上述情况中,盗号木马将会查找目标网游的目录,并执行下面操作: WOW:WOW.EXE改名为 W0W.EXE,将W0W.EXE设置为隐藏属性和系统文件属性;盗号木马改名为WOW.EXE。热血江湖:auncher.exe改名为launchar.exe,将launchar.exe设置为隐藏属性和系统文件属性;盗号木马改名为auncher.exe。 完美世界、武林外传和诛仙用的相同客户端:

elementclient.exe改名为elemontclient.exe,将elemontclient.exe设置为隐藏属性和系统文件属性;盗号木马改名为elementclient.exe。

注:没有任何文件保护功能,假如网游需要更新客户端程序,该盗号木马将被清除。

盗号部分: 在固定偏移读取游戏关键内存数据,通过破解内存中的信息取得用户信息。由于是固定偏移,游戏程序的版本改动都可能导致盗号失败。 正如前述,该系列木马是为个人"定做"的,用于接收盗号信息的网址都是不同的,但是参数是相同的。具体格式如下: User= 用户名&pass = 密码& ser = 服务器名_网络连接 &cangku =仓库密码 &beizhu = 备注&rw = 等级 &pcname = 计算机名 在诛仙盗号中发现的"cctvtvtvtvtD"(CCTV的粉丝?) 在完美世界盗号中发现的"真情告白": "ZHUZHUHENKEAI" "ZHUZHUSHITOUZHU" "WOLAOPOSHIDABENZHUHAHA" 在另外一个完美世界盗号中发现:"QUANTIKEHUHAHAHAHAHAFDSFDSFSDF"("全体客户"是指用户?)

说点,防范小常识!!

1、洁身自爱,不要受诱惑点击不明连接,不要访问那些杂七杂八的网站,不使用外挂。

 

2、杀毒软件+防火墙、密保卡仍然是必不可少,能大大降低你被盗号的机会。 杀毒软件推荐卡巴斯基互联网安全套装,优点就不说了,缺点是占内存,没512M以上内存不要用,不然会卡到死机-_-!另一缺点是暴力杀毒,WINDOWS系统文件感染了病毒被它强行删了,结果是毒没了,系统也启动不了了。(什么,你说误杀QQ和瑞星?那是因为QQ和瑞星耍流氓,放与“广告木马”一样的东东到用户电脑里,靠,做广告要用到这种招数,不当你是木马杀才怪) 。

3、提高警惕,以防被骗。现在很多网游都推出了密保卡,要警惕各种骗局,特别是要你密保卡随机密码的。

热爱WOW的玩家,密保失去了安全,我们怎么办??只有注意防范!!木马无处不在,我们到底要多么小心??如果黑客的兄弟们能集合在一起推出“WOW全面防盗软件”,我们会有多幸福,我想这样的成就远比攻击一个大网站,成功盗取某某帐号密码的名声要大的很多,不止是一个人会记住你,是你改变了WOW丢号的命运,是你改变了无数玩家的苦恼。

本类热门

相关文章

评论内容:

热门关键字:

精彩视频:

打钱视频|其他视频 

热门八卦:

打钱技术:

游戏情报:

公测内测|最新游戏 

游戏美图

文字链接:

友情链接 | 联系我们 | 广告合作 | 网站公告 | 诚聘英才 | 加盟职业玩家 | 帮助中心 | 网站地图 | 版权声明 |
联系方式:广告电话:0701-6235088 Email:hezuo@zhiyewanjia.com
广告、分站加盟QQ: 293355330  > 293355300   
职业玩家虚拟交易导航网站 2006-2008 版权所有 职业玩家虚拟交易导航网 赣ICP备06005342号