网络游戏木马防止浅谈

　　在网络游戏流行的今天，网管一定要了解怎样防止和分析处理网络病毒，保护顾客账号的安全，去一次就丢号的网吧相信没有一个人会喜欢。

　　“木马”其实也是计算机病毒，是人为编制的程序，通过大量的统计分析，病毒作者的主要目的有几种，一是一些天才的人为了证明自己的能力和实力而编写，二是处于对上级的不满，处于报复、好奇或者恶作剧，三是为了软件拿不到报酬或者认为报酬太低而预留的陷阱，四是政治、宗教、民族、军事、专利等方面专门编写的，五是一些人为了得到更多的金钱和利益而编写的木马。我们这里要讨论是防止对网络造成损害和多网络游戏应用者造成经济损失或者其他利益损失的常见病毒的防范。也就是根据病毒的破坏程度来分的危险型和非常危险型的病毒。这类病毒轻则造成计算机系统严重错误和网络运行瘫痪，重则删除程序，破坏数据，清除内存区和系统中的重要信息，获取网络用户的私密信息（游戏币、游戏号码、银行应用信息、公司机密信息、商业用户信息等）。这些病毒的传播通常我们称为攻击。

　　网络病毒常见攻击方式

　　缓冲区溢出攻击：通过往程序的缓冲区内写入超出其长度的内容，造成缓冲区溢出，以达到攻击目的，主要是获取管理员的最高权限，以控制权限和获取信息。

　　数据包嗅探：利用网卡的混杂模式来监听网络中的数据包，从而获取TFPT、FTP、TELNET、SNMP、POP3等协议的明文传输口令信息，达到攻击者的目的。

　　口令攻击：是采用暴力破解、木马等方式获取用户的有效身份，取得较高的权限，达到自己的目的。

　　端口扫描：对计算机系统的协议端口号进行扫描，获取系统存在的漏洞和服务来达到目的。

　　另外，网络上通常利用有诱惑性、误导性的语言和图片让上网的人有意或者无意地去点击，以引入事先准备好的木马病毒安装在网络应用者的机器上，影响机器的运行或者获取一些特定的利益。

　　上面分析木马病毒的攻击方式和传播的途径。下面介绍知道自己的机器是否中毒的一般方法。计算机病毒发作时，通常会出现以下几种情况，这样我们就能尽早地发现和清除它们。

　　1、电脑运行比平常迟钝，这主要是病毒侵入以后，通常会启动更多的进程，磁盘似乎花了比预期长的时间，病毒可能会花更长时间来寻找未感染文件。耗掉较多CPU和内存，导致和以前相比较迟钝。这个时候要查看系统进程，看看是不是有什么特殊的或者不常见的进程，这些进程通常会占用较高的CPU和较大的内存。

　　2、程序载入时间比平常长，有些病毒能控制程序或系统的启动程序，当系统刚开始启动或是一个应用程序被载入时，这些病毒将执行他们的动作，因此会花更多时间来载入程序。这个时候我们一定要看看系统启动进程是不是有大写的英文进程名出现，如果出现的话，先结束这个进程，手动结束不掉的，可以采用查看进程的PID号，同时看看这些进程是用户启动的还是系统启动的，因为一般情况系统启动的进程都是较少的。

　　3、不寻常的错误信息出现，例如你可能得到以下的信息： write protecterror on driver A 表示病毒已经试图去存取软盘并感染之，特别是当这种信息出现频繁时，表示你的系统肯定已经中毒了。这个情况一般都是系统中毒后在复制文件和病毒自己需要的MSDOS启动文件。最好去DOS状态下看看系统文件的大概数量，这样一般病毒会在其他盘符内有一些隐藏文件的出现。要结束不熟悉的进程，并去DOS或者安全模式下删除那些隐藏文件。

　　4、当你没有存取磁盘和不对机器做任何操作时，磁盘指示灯却一直闪亮了，电脑这时已经受到病毒感染了。这是病毒在自动复制文件或者访问系统其他盘符。

　　5、系统内存和CPU大量减少，有些病毒会消耗可观的内存容量，曾经执行过的程序，再次执行时，突然告诉你没有足够的内存可以利用，表示病毒已经存在你的电脑中了。这时要看看系统进程，当占用CPU和内存较大的进程肯定有问题的，一定要想办法结束这些进程，然后结束相关的进程树。

　　6、磁盘可利用的空间突然减少，这个信息警告你病毒已经开始复制了。

　　7、坏道增加，有些病毒会将某些磁区标注为坏道，而将自己隐藏其中，于是往往杀毒软件也无法检查病毒的存在，例如Disk Killer会寻找3或5个连续未用的磁区，并将其标示为坏轨。

　　8、内存内增加来路不明的常驻程序 、文件奇怪的消失、文件的内容被加上一些奇怪的资料、文件名称，扩展名，日期，属性被更改过，这些都是明显感染了病毒的现象。

　　所以无论是什么样情况发生，一切都会体现在进程上出现，要经常关心系统进程和用户进程，出现了不常见的进程先考虑结束这个进程。

　　通过上面的现象和分析我们知道了自己的机器是不是中了病毒。

　　常见网游盗号病毒

　　“武林大盗”变种XN(Win32.PSWTroj.OnlineGames.xn)：这个病毒是一个网游盗号贼，它会潜伏在受感染的电脑系统中，伺机注入系统进程里，创建信息钩子，盗取网络游戏“武林外传”的账号和密码，并将其发送给木马种植者。造成用户的虚拟财产的损失。该病毒运行后，会释放mh104.exe和mh104.dll病毒文件，修改注册表，实现随开机自动启动，通过设置消息钩子来盗取有效信息，发送到一些特定的地方去。

　　“西游大盗”(Win32.PSWTroj.OnlineGames)：该病毒是跟一般的盗号木马行为相似，它会潜伏在受感染电脑中，伺机注入到网络游戏“大话西游”的游戏进程，创建信息钩子获取游戏账号和密码，并将窃取的信息发送给木马种植者。造成用户的虚拟财产的损失。该病毒运行后，会释放dh2103.dll病毒文件，修改注册表，实现随开机自动启动。自动查找WSWINDOW窗口，盗取有效信息，并将其发到恶意站点

　　“诛仙窃贼”(Win32.PSWTroj.OnlineGames.139264)：该病毒是一个网络游戏的盗号贼，它跟一般盗号木马相似，它会伺机注入到网络游戏“诛仙”进程里，通过读取进程内存的方式，获取游戏账号和密码，并将其发送给木马种植者，造成用户虚拟财产的损失。该病毒运行后，会释放kulionzx.exe和kulionzx.dll病毒文件，修改注册表，实现随开机自动启动，盗取有效信息，并将其发送出去。

　　“征途大盗”变种SA(Win32.Troj.PSWZhengtu.sa)：该病毒的恶意行为跟之前“征途大盗”相似，都是针对网络游戏“征途”而来的，它会潜伏在受感染电脑的系统里，伺机注入到游戏“征途”的进程里，截取用户的QQ账号和密码信息，将窃取的有效信息发送给木马种植者，造成用户网络虚拟财产的损失。 该病毒运行后，会释放npkcrypt.vxd和ztconfig.ini等多个病毒文件，添加一个名字为LoginService的病毒服务，查找“征途”的客户端窗口zhengtu_client，将窃取的账号信息和密码并发送出去。

　　“魔域大盗”变种DS(Win32.Troj.PswGame.ds)：该病毒跟一般的盗号木马病毒的恶意行为相似，它会潜伏在电脑系统里，伺机获取网游“魔域”的登录窗口，并记录有效的账号和密码信息，将窃取的信息发送给木马种植者，造成用户的虚拟财产损失。该病毒运行后，会释放wsttrs.exe和wsttrs.dll病毒文件。修改注册表，实现随开机自动启动。此外，它还具备终止某些杀毒软件的监控进程和自删除的能

　　“传奇大盗”变种WXX(Win32.Troj.PSWLmir.wxx)：该病毒是“传奇大盗”的恶意改造版，跟之前版本的恶意行为相似，它会潜伏在电脑系统里，伺机获取网络游戏的用户登录窗口，并记录用户的键盘和鼠标的操作，将窃取的信息发送给木马种植者，造成用户的虚拟财产的损失。该病毒运行后，会释放一个ptool32.exe病毒文件，修改注册表，实现随开机自动启动。关闭KVXP_Monitor和木马防火墙等多个安全软件的杀毒窗口。

　　“ 天龙神偷” 变种E ( W i n 3 2 .PSWTroj.TLOnline.e)：该病毒是一个新的网络游戏盗号贼，它跟一般盗号木马的恶意行为相似，会潜伏在电脑系统里，监视网络游戏“天龙八部”的用户登录窗口，记录游戏账号和密码等有效信息，并将窃取的信息发送给木马种植者，造成用户的虚拟财产损失。该病毒运行后，会释放多个病毒文件，修改注册表，窃取游戏账号和密码，并将其发送到多个站点。

　　“完美世界窃贼”变种LC(Win32.PSWTroj.XYOnline.lc：该病毒会伪装成受感染电脑中的系统进程，监视网络游戏“完美世界”的游戏进程，创建信息钩子，盗取游戏的账号和密码、金钱等有效信息，并将其发送给木马种植者。造成用户的虚拟财产的损失。 该病毒运行后，会将自身复制到winlog0n.exe系统进程里，修改注册表，实现随开机自动启动。搜寻并获取完美世界的ElementClient.exe游戏进程，达到盗号的

　　目的。

　　“梦幻西游大盗”变种IU(Win32.Troj.XiYou.iu)：该病毒跟一般盗号木马病毒的恶意行为相似，它会伺机注入到网络游戏“梦幻西游”的游戏进程里，同时创建信息钩子，获取用户的账号和密码等有效信息，并将窃取的信息发送到木马种植者指定的恶意站点，造成用户的虚拟财产损失。搜寻并注入该游戏进程my.exe，获取相关的有效信息，然后将信息发送出去。该病毒运行后，会释放nmhxy.exe和nmhxy.dll两个病毒文930.com/game/xy234等站点。

　　另外最近非常流行的，机器狗、DUMMYCOM、JAVQHC、U盘病毒和JDWLI盗号木马以及ATIV2XX等病毒，这些病毒使计算机系统的杀毒软件无法启用，在侵入时首先就修改杀毒软件程序。无论是厉害的卡巴斯基、NOD32、还是国内的金山、瑞星都会自动关闭，无法启动。一般都会在系统进程中启动lsass.exe和smss.exe两个用户进程，但系统本身自己启动了这两个进程，如果出现这样的情况，可以用360compkill和其提供的专杀工具进行查杀。查杀后一定要关闭计算机，同时关闭电源几分钟后再启动系统，再次查杀。当然网吧也可以利用360还原保护器使用内核级防御体系，防御机器狗类穿透还原攻击，保护已有的还原系统不被还原穿透攻击 ，除了可防御已知机器狗病毒穿透还原，360还原保护器还可抵御以下可能发生的还原穿透攻击：所有的磁盘设备脱链式穿透还原攻击，所有的磁盘过滤饶过方式穿透还原，SCSI_REQUEST_BLOCK方式穿透还原，所有的的PASS THROUGH指令穿透还原（RING3下穿透还原技术，保证还原系统正常工作，强烈推荐所有使用还原系统的网吧或个人用户使用，使机器狗再也无法穿透你的还原系统。

　　常见盗号木马防御方法

　　1、经常关注系统进程，发现可疑的立刻采取措施，对症下药。

　　2、经常对系统进行更新，时刻查找系统的漏洞，做到有漏洞及时打上补丁。

　　3、加强杀毒软件的时候升级更新。经常多系统扫描、查杀病毒。

　　4、一定要在防火墙上下工夫，关闭掉一些很少用到的协议端口号，做好防范措施。

　　5、上网时一定注意不要轻易点击一些诱惑性的语言和图片。

　　6、下载软件时，一定要看好下载连接的地址，以免误下载到病毒。

　　经过长期的测试和应用，在杀毒软件方面，卡巴斯机、NOD32是不错的杀毒工具。防火墙安全卫士360是很好的，病毒库更新非常快，特别对流行木马病毒有很好防护功能，可以查杀到很多网络木马。