学文网“搞定”众多网游的木马
其实不论推出再多的新网游,网游木马盗号的原理都基本是一样的,只需略作改动,就可盗取任何新网游帐号装备。这里我们先来揭秘一款神秘的网游盗号木马――“网游终结者v1.1”。看看一个木马是如何通过变形,终结众多网络游戏的。
终结者木马的配置与生成
运行“网游终结者v1.1”,可看到此木马采用的是邮箱方式发送接收盗号信息的。在“发信邮箱”和“发信邮箱密码”中,输入用来发送盗号邮件的邮箱与登录密码。不过木马目前只支持163邮箱发送盗号邮件,千万不可输入其它邮箱,否则即使盗取到了极品网游帐号或装备,也无法发送网游帐号信息邮件。
小提示
设置发信邮箱时,要使用不重要的163邮箱,或者注册一个新163邮箱,否则极有可能别人用嗅探之类的方法,破解截获邮箱帐户与登录密码。破解的方法很简单,可使用“网游木马嗅探器”之类的工具,具体的操作可参看本栏目以前的文章。
在“收集邮箱”中输入用来接收盗号邮件的邮箱,收倍邮箱没有限制要求,可使用163邮箱或其它任意邮箱。要注意,收信邮箱最好不要与发信邮箱相同,否则很有可能会被别人截取收到的盗号邮件。另外,收信邮箱中可能还会收到其它一些邮件,为了与盗号邮件区分开来,可为盗号邮件设置一个醒目的邮件主题,在配置界面中“邮件主题”处输入即可。
“网游终结者v1.1”的独特,在于可以根据用户的需妻生成不同功能的盗号木马,目前支持四种网络游戏,包括“热血江湖”、“冒险岛”、“奇迹世界”和“大话西游”。其实网游盗号的原理都差不多,对程序略做修改就可以扩展功能,制作其它任意网游的盗号木马。点击界面下方的“生成热血江湖欺骗程序”按钮,,即可在当前目录下生成一个名为“热血嘉年华exe'’的程序文件。点击其它几个网游生成按钮,可分别生成“冒险小精灵,exe”、“奇迹世界烈火破解版exe”、“大话天使伴侣exe”程序文件,分别对应不同的网游盗号功能。
网游木马的伪装与
朋友们也许会发现,刚才生成的几个程序文件。似乎与一般的木马程序不同。确实如此,这几个程序其实都是“网游外挂”程序,以“热血嘉年华exe”为例,在网上搜索,可以看到许多地方都有此外挂程序的***,还有一个开发此外挂程序的“热血嘉年华***网站”。从网上的信息可知道,“热血嘉年华”是一个非常热门的热血江湖网游外挂。我们先***一个真正的“热血嘉年华”,运行后可以看到外挂是需要注册的,还要求将外挂帐号与游戏帐号进行绑定。其实我们生成的盗号木马程序,与这个程序界面也是差不多的,这里暂时先不做演示,直接将生成的“热血嘉年华exe”打包成“外挂”。
将“热血嘉年华exe”与当前目录下的“MFC42D.DLL”和“MSVCRTD.DLL”文件,用WinRAR打包在一起,生成一个名为“热血嘉年华破解包rar”的压缩文件。通过迅雷博客或者游戏破解网站出去,当然也可以入侵某个游戏或外挂网站。在时一定注明这是“热血嘉年华免费破解版外挂”,这样许多想要免费大餐的游戏者就会上当了。
小提示
在打包木马程序时,注意不要遗漏了“MFC42D DLL”和“MSVCRTD.DLL”文件,否则外挂木马程序无法正常执行。
游戏盗号
当其他网游玩家***了我们的“热血嘉年华,免费破解版外挂”后,解压并双击其中的“热血嘉年华exe”,运行这个伪装的外挂程序。可看到程序界面与真正的“热血嘉年华”差不多,只是略有差异。不过一般游戏玩家也会以为,这不过是因为外挂被破解的缘故。但事实上,这却是一个货真价实的热血江湖盗号木马程序。我们来看看木马是怎么盗号的:
首先,游戏玩家会像使用真的“热血嘉年华”外挂一样,在“注册帐号”选项页中,输入要注册的“外挂帐号”和“外挂密码”。点击“注册”按钮,即可“成功”的注册一个外挂帐号。注册成功后,切换到“绑定帐号”按钮,输入刚才注册的外挂帐号和密码,并输入游戏帐号,注意,在外挂木马界面中,比真正的外挂程序多出了一个“游戏密码”的输入项,这就是盗号的关键。再输入“游戏服务器”和验证码,点击“绑定”按钮,将会提示绑定成功。其实在绑定外挂帐号与游戏帐号时,密码已经被木马悄悄的发送出去了。但是不知情的游戏玩家,会很高兴的登录热血江湖游戏,开始使用这个外挂了……
终结者木马的迷惑性
终结者外挂木马非常具有迷惑性。我们来详细剖析一下木马的伪装诱骗招术:
首先,木马以外挂破解免费为伪装,更加吸引大量的游戏玩家中招运行木马,因而使用木马传播非常广泛与快速。
其次,木马不像普通的木马文件那样,只是一个程序文件,而是具备了真正外挂的界面,因此非常具有迷惑性。木马在发送时会有一个短暂的程序假死状态,不过在“外挂”界面中有一个提示:“绑定时比较占用系统资源,所以可能会出现假死状态……”,这就解决了许多玩家的疑惑。另外,盗号木马程序与真的外挂几乎没有两样,如果输入验证码错误。还会要求重装输入验证码。在进入游戏后,外挂的各种快捷键,如呼出外挂、开始挂机等,一样可以正常使用,甚至还能执行真外挂的某些外挂功能!
另外,木马以外挂的方式运行,因此可以很容易的突破防火墙和杀毒软件。例如盗号者可以在外挂包中加入一个说明文件,写入“本程序为破解版本,因此某些杀毒软件会报警。本程序绝无病毒!请关闭杀软!”之类的话语。常用破解版程序的用户也都明白这个“道理”,肯定会关闭杀软的。另外,也可对木马程序本身进行一下免杀,网上各种加壳免杀工具非常多,使用也很简单。至于突破防火墙,玩网游时许多玩家都会考虑关闭防火墙,另外,外挂在运行时需要注册帐号。因此肯定要连接网络,防火墙也不得不放行。
查杀终结者木马
其实明白了网游终结者木马的传播与盗号原理,查杀防范就很简单了,识别木马的关键在于看看外挂在使用时,是否需要用户输入游戏密码。如果要求输入密码的,必定是盗号木马!
另外,网游终结者木马在运行时,会在“C:\windows\system32”目录下生成两个文件:“News.txt”和“checkinforidpass.txt”,前者是用来发送密码的网页文件,后者是记录外挂帐号以进行伪装提示的。将这两个文件进行删除即可。