盗号木马

盗号木马是一种隐蔽在计算机中的恶意程序，其主要目的是为了盗取各类需要密码的账户，包括游戏账户和应用程序账户。与灰斑鸠不同，盗号木马是以盗号为主要目的的QQ恶龙。

特性与发展

早期的盗号木马程序主要是通过监听键盘记录的方式来获取用户的账户和密码。然而，随着技术的发展，更加先进的盗号木马程序已经开始通过内存提取数据的方式来获取用户的账户和密码。这种方式使得木马作者无需等待用户输入密码，而是可以直接从内存中获取用户的真实游戏账户、密码、角色等级等信息。

工作原理

盗号木马程序通常由服务器端程序和客户端程序两部分组成。当服务器端程序安装在联网的计算机上后，可以通过客户端程序进行登录。这一过程类似于PcAnywhere和NetMeeting的远程控制功能，但不同之处在于，木马程序是非法获取对目标计算机的控制权。一旦登录成功，攻击者可以获得管理员级别的权限，从而查看受害者的计算机上的所有资料和密码。为了避免引起怀疑，许多木马作者会选择仅使用服务器端的小型木马，这些木马会将窃取的密码发送至特定的电子邮件地址，而不需要人工干预。

入侵方式

图片木马

图片木马通过将木马exe文件的文件头替换为BMP文件的文件头，欺骗IE浏览器自动打开该文件。接着，通过网页内的ECMAScript代码，将临时文件中的BMP文件还原为木马exe文件，并将其复制到启动项中。这种方法可以让木马在用户下次启动计算机时自动加载。

EML和EXE木马

EML木马通过将木马文件伪装成音频文件，诱使Windows操作系统自动播放所谓的.wav声音文件，从而使木马轻松地进入计算机。

JS木马

JS木马通过将木马exe编译到.js文件中，并在网页中调用来实现无声无息的入侵。

QQ传输

通过QQ聊天软件，向受害者发送包含木马的文件或链接，使其点击后自动下载并运行木马。

邮件附件

通过电子邮件发送包含木马的附件，受害者只需打开附件，系统就会感染木马。

捆绑法

将木马与其他正常程序捆绑在一起，当用户运行表面上看似正常的程序时，木马也随之运行。

网吧环境

在网吧环境中，通过双击木马文件，绕过还原精灵等防护软件的限制，实现木马的植入。

绑定传播

木马与QQ尾巴等病毒绑定在一起，加速传播。

网页木马

通过挂载木马的网页，当用户访问时，木马会立即从服务器上加载并快速感染计算机。

十大种类

金山毒霸全球反病毒监测中心公布了2007年上半年十大网络游戏盗号木马，其中包括：

魔兽大盗

“魔兽大盗”变种QZZ(Win32.PSWTroj.魔兽世界qzz)是一款针对《魔兽世界》的恶意改造版木马，它会潜伏在系统中，寻找机会注入游戏进程，盗取用户的游戏账户、密码和装备等重要信息，并发送给攻击者。

征途大盗

“征途大盗”变种SA(Win32.Troj.PSWZhengtu. sa）同样是针对《征途》游戏的木马，它会搜索游戏客户端窗口，拦截用户的QQ账户和密码信息，并将其发送给攻击者。

传奇大盗

“传奇大盗”变种WXX(Win32.Troj.PSWLmir.wxx)是《传奇》游戏的恶意改造版木马，它会记录用户的键盘和鼠标操作，获取游戏账户和密码，并发送给攻击者。

西游大盗

“西游大盗” (Win32.PSWTroj.OnlineGames)是一款针对《大话西游》游戏的木马，它会创建信息钩子，获取游戏账户和密码，并发送给攻击者。

诛仙窃贼

“诛仙窃贼”(Win32.PSWTroj.OnlineGames.139264)是《诛仙》游戏的木马，它会通过读取游戏进程内存的方式，获取游戏账户和密码，并发送给攻击者。

完美世界窃贼

“完美世界窃贼”变种LC(Win32.PSWTroj.XY中超online lc)是《完美世界》游戏的木马，它会伪装成系统进程，监控游戏进程，获取游戏账户和密码，并发送给攻击者。

天龙神偷

“天龙神偷”变种E(Win32.PSWTroj.TLOnline.e)是《天龙八部》游戏的木马，它会监视游戏进程，记录游戏账户和密码，并发送给攻击者。

梦幻西游大盗

“梦幻西游大盗”变种IU(Win32.Troj.XiYou.iu)是《梦幻西游》游戏的木马，它会注入游戏进程，创建信息钩子，获取游戏账户和密码，并发送给攻击者。

检查方法

检查计算机是否感染盗号木马的方法包括：

msconfig检查

通过运行msconfig命令，检查system.ini和win.ini文件中的启动项是否有可疑的附加程序。此外，还需检查启动项中是否存在未知的启动项目。

regedit检查

通过运行regedit命令，检查注册表中的exefile项下的command默认键值是否正确。如果有其他程序路径，则可能是中了木马。

杀毒软件联合检查

建议使用多种不同的杀毒软件进行扫描，以提高检测率。此外，可以在DOS环境下重启计算机后再进行查杀，以减少木马残留的可能性。

防治方法

防范盗号木马的方法包括：

控制面板设置

通过控制面板中的添加删除程序，卸载不必要的Windows附件。在Internet Explorer浏览器中，禁用脚本和加载程序及文件等功能，以降低风险。

加强安全设置

增加多重密码保护，如角色密码、背包密码、装备栏密码、仓库密码和退出密码。还可考虑使用密码保护卡，并设置下次登录的IP范围，以及计算机绑定等措施。

提高游戏安全性

增强游戏本身的防木马能力，与杀毒软件公司合作开发专用杀毒软件，或者加入网吧IP段保护机制。

反盗措施

为了应对盗号木马的威胁，可以采取以下措施：

角色密码

设置角色密码，并结合密码保护卡，确保账户的安全。

背包密码

设置背包密码，区分重要财产和常用物品，以便更好地保护资产。

装备栏密码

通过密码保护卡，确保装备栏的安全，避免技能滥用和不当交易。

仓库密码

仓库也需要密码保护，以保障物品的安全。

退出密码

设置退出密码，确保正常下线，防止非正常下线导致的账户安全隐患。

下次登录地点

设定下次登录的IP范围，防止未经授权的IP登录。

计算机绑定

通过绑定CPU编号，提高账户的安全性。

密码保护卡

使用多张密码保护卡，分别用于不同的操作，如登录、角色、背包、仓库和退出登录。

游戏安全升级

对现有的密码系统进行升级，提升游戏的整体安全性。

合作研发

与杀毒软件公司合作，开发适用于游戏的专用杀毒软件。

网吧IP段保护

加强对网吧IP段的保护，减少盗号木马的风险。

相关资料

盗号木马的常见手段之一是通过木马程序盗取玩家的密码，并利用盗取的密码进入密码保护卡解除绑定的网页页面。木马程序还会将玩家登录时的三个密码保护卡数字替换成密码保护卡解除绑定所需的三个数字，以此来骗取密码保护卡解除绑定所需的信息。此外，木马程序还能在玩家打电话确认密码后，通过木马程序让玩家无法连接服务器，并盗取玩家的密码，从而在短时间内盗取玩家的财产。

案例

盗号木马的存在令广大游戏玩家深感困扰。据调查，超过87%的网络游戏爱好者曾经历过被盗号的经历。2007年7月4日，旧金山发布的2007年上半年安全报告显示，新增的木马中，盗号木马占比高达76.04%，数量多达58,245种。

参考资料

什么是木马？一篇文章给你讲清楚.CSDN博客.2024-08-19

全国1.2万余台商家电脑被植入信息窃取“木马”程序，30人被抓.上观新闻.2024-08-19

山东省枣庄市市中区网警部门打掉“木马”盗号产业链.网易.2024-08-19