前不久在毒霸强大云查杀的海量收集下,发现了一种新型病毒,该病毒通过搜索特征码的方式找到用户何时输入用户名密码,与此同时遍历窗口找到用户打开密保卡图片的窗口,连同账号密码与密保卡信息一同提交到木马服务器。
所谓密保卡就是游戏公司推出的一项帐号安全保护服务。它是一个记录着10行8列数字的卡片,在执行敏感操作(如在幻想游戏中转让装备、修改QQ密码)时,系统将提示用户输入密保卡三个位置上的数字,全部输入正确才允许继续操作。由于密保卡每次随机选择三个方格中的数字作为临时动态密码,因而,这一动态密码每次都是不同的,盗号木马如果想盗取成功就一定要想办法获取密保卡信息。下面就一起来看看该病毒是怎样绞尽脑汁盗取用户信息的。
为了实现邪恶目的,这个马必须要安然到达用户的系统中,这时候就必须绕过第一道防线—-安全软件。病毒首先通过在指定范围内查找系统文件代码的方法对抗杀软的虚拟机,使杀软虚拟机执行Int 0 异常,虚拟机跑不出行为,自然就避开了部分杀软的监控。
为了给分析师的静态分析做足干扰,病毒作者不仅使用了变形与加花,还将所有网址,特征码等有用数据进行加密处理。根据解密出的特征码,病毒开始匹配内存数据,如果匹配到则保存地址进行 patch,得到用户账号与密码后病毒作者还会进行简单的核对,类似QQ号码的长度,号码中是否有数字之外的字符等,看来病毒作者也在提升自己的代码质量。
木马千辛万苦坚持到现在,已经实属不易,不过如果木马遇到的是警觉性高的用户可能会面临功亏一篑的危险,因为部分用户为了保护自己的账号密码会使用密保卡等这些高安全级别的密码保护方式。不过这类木马获取用户的密保卡信息会在用户输入密保卡的时候查找Windows图片传真查看器,画图板和ACDSee窗口等图片查看窗口,找到后则遍历进程,通过查找包含特殊字符串的方法得到密码卡所在路径。如果用以上的方法不能定位到图片密保卡文件,木马就会使用截图方式,对整个屏幕进行截屏保存,然后链接黑客服务器,上传盗取的数据。刚好用户没升级的那天遇到此类木马流行,后果可想而知。
病毒的这种手段对用户的账号信息造成了很大的威胁,建议用户在打开游戏登陆界面之前记录密保卡相关信息,出现登陆框的时候直接输入数据,避免登陆框和密保卡图片同时存在桌面的情况。也可以考虑其他密码保护方式,比如纸介质密保卡,手机Token等。同时开启安全软件的实时升级与文件监控,这样可以更直接更快速的防护新型木马的入侵。
黑客高手真是层出不穷 ! 不过也好 ,这对防毒软件开发也起着推动作用啊!
也罢
请问:是不是用类似于传呼机似的密保,也能被盗号。我的游戏被盗了装备,损失惨重,就像您说的那样,是截图盗号是吗?
请问您们金山什么时候出个放被强行植入的杀毒软件呢?我最近发现了好多病毒,但也没下载过东西,大概是强行植入的,现在金山毒霸说是什么木马下载器,所以CSOL更新老出致命错误,还有,如果有保密卡,立马就把它放在手机,或抄下来就删除拿没,何如?
密保卡存在手机或纸上是比较妥当的办法。
病毒是不可能强行植入电脑的,肯定有下载过什么东西,或者从别的地方复制了染毒的文件到电脑中。如果你是局域网,那么有可能是别的电脑ARP攻击。
天哪,没时间管了!
我当是怎么回事儿…..原来是截图惹的祸….纸质或是手机的话安全性就高了…黑客再厉害也不会破门而入把密保卡给偷了吧….
没想到黑客对网络了解的这么深…………………无奈
呵呵 最好的办法就是绑定电子密保卡 方便 永远不会盗 不过花钱的哦
我游戏的号就是被电子密保卡盗的- -!
也不怎么安全
我今天魔兽被盗,有密保卡,存在电脑上,上的时候莫名其妙掉线,马上再上发现金币全没了,但没有其他异常情况,估计就是中这种病毒了
呵呵,我用的是30元面值赠送的纸质密保卡,看黑客怎么盗
切…..把密保卡手抄几份…在把电脑上的密报删了..看黑客怎么盗…….不过有些人觉的麻烦…但为了游戏不被盗..也只有这样.(⊙o⊙)
感觉 类似于 网易的 将军令
腾讯的 手机令牌
什么的 还是 比密保卡 安全
有网易的将军令也被盗了,是怎么回事呢
笨死了,肯定要用纸版的密保卡啦,前天去网吧,登上去就发现在图片浏览记录里发现了一张密保卡,好傻瓜,难道这人不知道QQ登了就会在C盘里有记录么?
那怎么样才可以避免这种悲剧发生
我绑的是电话密保,看黑客咋偷我的电话盗号
把密保卡放在优盘里,改密码时再把优盘插上去,但截图这一方法就没法放了吧。
找个抗截屏的软件。
没有对内存数据加密。加密的话,不解密你就没法看到内存数据。哈哈
我今天中毒了。。用金山毒霸也杀不了。。最后一键还原了。。
密保卡被盗感觉很正常。但是我的是手机令都被盗了。我就想不通了。
腾讯中看不中用。