网络游戏木马防止浅谈

来源 :网吧世界 | 被引量 : 0次 | 上传用户:llzx373
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  在网络游戏流行的今天,网管一定要了解怎样防止和分析处理网络病毒,保护顾客账号的安全,去一次就丢号的网吧相信没有一个人会喜欢。
  “木马”其实也是计算机病毒,是人为编制的程序,通过大量的统计分析,病毒作者的主要目的有几种,一是一些天才的人为了证明自己的能力和实力而编写,二是处于对上级的不满,处于报复、好奇或者恶作剧,三是为了软件拿不到报酬或者认为报酬太低而预留的陷阱,四是政治、宗教,民族、军事、专利等方面专门编写的,五是一些人为了得到更多的金钱和利益而编写的木马。我们这里要讨论是防止对网络造成损害和多网络游戏应用者造成经济损失或者其他利益损失的常见病毒的防范。也就是根据病毒的破坏程度来分的危险型和非常危险型的病毒。这类病毒轻则造成计算机系统严重错误和网络运行瘫痪,重则删除程序,破坏数据,清除内存区和系统中的重要信息,获取网络用户的私密信息(游戏币、游戏号码、银行应用信息,公司机密信息、商业用户信息等)。这些病毒的传播通常我们称为攻击。
  
  网络病毒常见攻击方式
  
  缓冲区溢出攻击:通过往程序的缓冲区内写入超出其长度的内容,造成缓冲区溢出,以达到攻击目的,主要是获取管理员的最高权限,以控制权限和获取信息。
  数据包嗅探:利用网卡的混杂模式来监听网络中的数据包,从而获取TFPT、FTP、TELNET、SNMP、POP3等协议的明文传输口令信息,达到攻击者的目的。
  口令攻击:是采用暴力破解、木马等方式获取用户的有效身份,取得较高的权限,达到自己的目的。
  端口扫描:对计算机系统的协议端口号进行扫描,获取系统存在的漏洞和服务来达到目的。
  另外,网络上通常利用有诱惑性,误导性的语言和图片让上网的人有意或者无意地去点击,以引入事先准备好的木马病毒安装在网络应用者的机器上,影响机器的运行或者获取一些特定的利益。
  上面分析木马病毒的攻击方式和传播的途径。下面介绍知道自己的机器是否中毒的一般方法。计算机病毒发作时,通常会出现以下几种情况,这样我们就能尽早地发现和清除它们。
  1、电脑运行比平常迟钝,这主要是病毒侵入以后,通常会启动更多的进程,磁盘似乎花了比预期长的时间,病毒可能会花更长时间来寻找未感染文件。耗掉较多CPU和内存,导致和以前相比较迟钝。这个时候要查看系统进程,看看是不是有什么特殊的或者不常见的进程,这些进程通常会占用较高的CPU和较大的内存。
  2、程序载入时间比平常长,有些病毒能控制程序或系统的启动程序,当系统刚开始启动或是一个应用程序被载入时,这些病毒将执行他们的动作,因此会花更多时间来载入程序。这个时候我们一定要看看系统启动进程是不是有大写的英文进程名出现,如果出现的话,先结束这个进程,手动结束不掉的,可以采用查看进程的PID号,同时看看这些进程是用户启动的还是系统启动的,因为一般情况系统启动的进程都是较少的。
  3,不寻常的错误信息出现,例如你可能得到以下的信息: write protecterror on driver A表示病毒已经试图去存取软盘并感染之,特别是当这种信息出现频繁时,表示你的系统肯定已经中毒了。这个情况一般都是系统中毒后在复制文件和病毒自己需要的MSDOS启动文件。最好去DOS状态下看看系统文件的大概数量,这样一般病毒会在其他盘符内有一些隐藏文件的出现。要结束不熟悉的进程,并去DOS或者安全模式下删除那些隐藏文件。
  4、当你没有存取磁盘和不对机器做任何操作时,磁盘指示灯却一直闪亮了,电脑这时已经受到病毒感染了。这是病毒在自动复制文件或者访问系统其他盘符。
  5、系统内存和CPU大量减少,有些病毒会消耗可观的内存容量,曾经执行过的程序,再次执行时,突然告诉你没有足够的内存可以利用,表示病毒已经存在你的电脑中了。这时要看看系统进程,当占用CPU和内存较大的进程肯定有问题的,一定要想办法结束这些进程,然后结束相关的进程树。
  6、磁盘可利用的空间突然减少,这个信息警告你病毒已经开始复制了。
  7、坏道增加,有些病毒会将某些磁区标注为坏道,而将自己隐藏其中,于是往往杀毒软件也无法检查病毒的存在,例如Disk killer会寻找3或5个连续未用的磁区,并将其标示为坏轨。
  8、内存内增加来路不明的常驻程序、文件奇怪的消失、文件的内容被加上一些奇怪的资料、文件名称,扩展名,日期,属性被更改过,这些都是明显感染了病毒的现象。
  所以无论是什么样情况发生,一切都会体现在进程上出现,要经常关心系统进程和用户进程,出现了不常见的进程先考虑结束这个进程。
  通过上面的现象和分析我们知道了自己的机器是不是中了病毒。
  
  常见网游盗号病毒
  
  “武林大盗”变种XN(win32.PSWTroj OnlineGames.xn):这个病毒是一个网游盗号贼,它会潜伏在受感染的电脑系统中,伺机注入系统进程里,创建信息钩子,盗取网络游戏“武林外传”的账号和密码,并将其发送给木马种植者。造成用户的虚拟财产的损失。该病毒运行后,会释放mh104.exe和mh104.dll病毒文件,修改注册表,实现随开机自动启动,通过设置消息钩子来盗取有效信息,发送到一些特定的地方去。
  “西游大盗”(Win32.PSWTroj.OnlineGames):该病毒是跟一般的盗号木马行为相似,它会潜伏在受感染电脑中,伺机注入到网络游戏“大话西游”的游戏进程,创建信息钩子获取游戏账号和密码,并将窃取的信息发送给木马种植者。造成用户的虚拟财产的损失。该病毒运行后,会释放dh2103.dlI病毒文件,修改注册表,实现随开机自动启动。自动查找WSWINDOW窗口,盗取有效信息,并将其发到恶意站点
  “诛仙窃贼”(Win32.PSWTroj.OnlineGames.139264):该病毒是一个网络游戏的盗号贼,它跟一般盗号木马相似,它会伺机注入到网络游戏“诛仙”进程里,通过读取进程内存的方式,获取游戏账号和密码,并将其发送给木马种植者,造成用户虚拟财产的损失。该病毒运行后,会释放kulionzx.exe和kulionzx.dll病毒文件,修改注册表,实现随开机自动启动,盗取有效信息,并将其发送出去。
  “征途大盗”变种SA(Win32.TrojPSWZhengtu.sa):该病毒的恶意行为跟之前“征途大盗”相似,都是针对网络游戏“征途”而来的,它会潜伏在受感染电脑的系统里,伺机注入到游戏“征途”的进程里,截取用户的QQ 账号和密码信息,将窃取的有效信息发送给木马种植者,造成用户网络虚拟财产的损失。该病毒运行后,会释放npkcrypt.vxd和ztconfig.ini等多个病毒文件,添加一个名字为LoginService的病毒服务,查找“征途”的客户端窗口zhengtu_client,将窃取的账号信息和密码并发送出去。
  “魔域大盗”变种Ds(Win32.Troj.3swGame.ds):该病毒跟一般的盗号木马病毒的恶意行为相似,它会潜伏在电恼系统里,伺机获取网游“魔域”的登录窗口,并记录有效的账号和密码信息,将窃取的信息发送给木马种植者,造成用户的虚拟财产损失。该病毒运行后,会释放wsttrs.exe和wsttrs.dll病毒文件。修改注册表,实现随开机自动启动。此外,它还具备终止某些杀毒软件的监控进程和自删除的能
  “传奇大盗”变种WXX(Win32.Troj.PSWLmir.WXX):该病毒是“传奇大盗”的恶意改造版,跟之前版本的恶意行为相似,它会潜伏在电脑系统里,伺机获取网络游戏的用户登录窗口,并记录用户的键盘和鼠标的操作,将窃取的信息发送给木马种植者,造成用户的虚拟财产的损失。该病毒运行后,会释放一个pt00132.exe病毒文件,修改注册表,实现随开机自动启动。关闭KVXP_Monitor和木马防火墙等多个安全软件的杀毒窗口。
  “天龙神偷”变种E(win32.PSWTroj.TLOnline.e):该病毒是一个新的网络游戏盗号贼,它跟一般盗号木马的恶意行为相似,会潜伏在电脑系统里,监视网络游戏“天龙八部”的用户登录窗口,记录游戏账号和密码等有效信息,并将窃取的信息发送给木马种植者,造成用户的虚拟财产损失。该病毒运行后,会释放多个病毒文件,修改注册表,窃取游戏账号和密码,并将其发送到多个站点。
  “完美世界窃贼”变种Lc(Win32.PSWTroj.XYOnline.lc):该病毒会伪装成受感染电脑中的系统进程,监视网络游戏“完美世界”的游戏进程,创建信息钩子,盗取游戏的账号和密码、金钱等有效信息,并将其发送给木马种植者。造成用户的虚拟财产的损失。该病毒运行后,会将自身复制到winlogOn.exe系统进程里,修改注册表,实现随开机自动启动。搜寻并获取完美世界的ElementClient.exe游戏进程,达到盗号的目的。
  “梦幻西游大盗”变种Iu(Win32.Troj.XiYou.iu):该病毒跟一般盗号木马病毒的恶意行为相似,它会伺机注入到网络游戏“梦幻西游”的游戏进程里,同时创建信息钩子,获取用户的账号和密码等有效信息,并将窃取的信息发送到木马种植者指定的恶意站点,造成用户的虚拟财产损失。搜寻并注入该游戏进程my.exe,获取相关的有效信息,然后将信息发送出去。该病毒运行后,会释放nmhxy.exe和nmhxy.dll两个病毒文930.com/game/xy234等站点。
  另外最近非常流行的,机器狗、DUMMYCOM、JAVQHC、u盘病毒和JDWLI盗号木马以及ATIV2XX等病毒,这些病毒使计算机系统的杀毒软件无法启用,在侵入时首先就修改杀毒软件程序。无论是厉害的卡巴斯基、NOD32、还是国内的金山、瑞星都会自动关闭,无法启动。一般都会在系统进程中启动Isass.exe和smss.exe两个用户进程,但系统本身自己启动了这两个进程,如果出现这样的情况,可以用360compkill和其提供的专杀工具进行查杀。查杀后一定要关闭计算机,同时关闭电源几分钟后再启动系统,再次查杀。当然网吧也可以利用360还原保护器使用内核级防御体系,防御机器狗类穿透还原攻击,保护已有的还原系统不被还原穿透攻击,除了可防御已知机器狗病毒穿透还原,360还原保护器还可抵御以下可能发生的还原穿透攻击:所有的磁盘设备脱链式穿透还原攻击,所有的磁盘过滤饶过方式穿透还原,SCSI_REQUEST_BLOCK方式穿透还原,所有的PASS THROUGH指令穿透还原(RING3下穿透还原技术,保证还原系统正常工作,强烈推荐所有使用还原系统的网吧或个人用户使用,使机器狗再也无法穿透你的还原系统。
  
  常见盗号木马防御方法
  
  1、经常关注系统进程,发现可疑的立刻采取措施,对症下药。
  2、经常对系统进行更新,时刻查找系统的漏洞,做到有漏洞及时打上补丁。
  3、加强杀毒软件的时候升级更新。经常多系统扫描、查杀病毒。
  4、一定要在防火墙上下功夫,关闭掉一些很少用到的协议端口号,做好防范措施。
  5、上网时一定注意不要轻易点击一些诱惑性的语言和图片。
  6、下载软件时,一定要看好下载连接的地址,以免误下载到病毒。
  经过长期的测试和应用,在杀毒软件方面,卡巴斯机、NOD32是不错的杀毒工具。防火墙安全卫士360是很好的,病毒库更新非常快,特别对流行木马病毒有很好防护功能,可以查杀到很多网络木马。
其他文献
过去,网吧大多是组装机,如今网吧产业的异军突起,行业规范的日渐完善,IT消费产品的品牌号召力起了很大的作用。于是,“组装机”方案被迅速过渡到“品牌、整体网吧解决方案”。而作为全球领军的3c整体解决方案厂商华硕,旗下的网吧机箱TT67,凭借着过硬的品质,赢得了众多经营者及消费者的认可。同时做到让经营者动心,管理者放心,消费者舒心的三心服务,给商家带来了很好的效益。    省得让人动心    TT67
期刊
2008年4月3日,在上海举行的2008英特尔春季信息技术峰会(IDF)上,英特尔预发布了最新英保通产品4.0版。发布会上,英特尔亚太研发有限公司举行了与战略合作伙伴方正科技、精英电脑和百敖软件的合作备忘录签署仪式,就相互展开更开放的合作达成共识。多位嘉宾以及来自全国各地的OEM厂商、渠道代理商、第三方独立软件开发商,网吧行业及媒体代表出席了本次活动。即将发布的英保通产品4.0版采用全新架构,包括
期刊
VIP是英文Very Important Person的缩写,解释为贵宾,极重要的人。VIP有多种表现形式,网吧行业多以会员分级的形式来体现VIP顾客与普通顾客的区别,而大部分网吧会员的等级是靠积分来评定的。这些表现形式的设计源于部分业主对VIP的错误理解,这种错误的解读能被继承也源于网吧行业的激烈竞争。是的,即使一位科学家在生命濒临绝境时,也有可能会以宗教或迷信为精神寄托,而企业家在面临激烈的市
期刊
2008年4月18日,中国惠普信息产品集团(PsG)在京召开商用台式机全线新品发布会,隆重推出拥有惠普独特创新科技和节能环保设计的全系列新品。网吧机新品dx2358和dx2138也在发布会上强势推出,会议当中以颇具特色的“话剧”形式,为大家展示了此次惠普针对商用、网吧、教育三个行业专用机型的特点,直观生动地讲述了目前惠普在行业细分与按需订制的产品策略。与此同时,惠普继续推行个性化理念,发布2008
期刊
2008年1月17日,中国互联网络信息中心(cNNIc)在京发布《第21次中国互联网络发展状况统计报告》。数据显示,截止2007年12月31日,我国网民总人数达到2.1亿人,影视服务是继网络音乐、及时通讯之后的网吧第三大应用,已经成为网吧吸引顾客上机、延长上机时间的最有效方式。据相关部门统计,目前我国拥有13万家网吧,网民到网吧消费时看电影的人员比例约为30%,在数量如此庞大的网吧中推广使用正版影
期刊
“5.12”汶川大地震发生后,举国悲恸。地震造成的巨大伤亡。让我们黯然神伤。政府人员、人民子弟兵,志愿者等不畏艰险、第一时间进入灾区救援,挽救了大量生命;全国人民同心同力。捐款捐物。献血献爱心;灾区人民没有被天灾压倒,积极开展自救。进行灾后重建工作……这让我们深深感受到了中华民族的凝聚力,让世界感受中国的坚韧与坚强,希望的种子已经开始生根发芽。  面对无情的地震。各行各业迅速行动起来。为抗震救灾做
期刊
中国的无盘工作站系统,大约在1997年走向社会,走进网吧。历经10多年的磨砺,无盘工作站系统逐渐得到网吧、酒店、证券、办公、KTV等用户广泛的认可,扎下了深厚的根基,并已经形成了一个商圈,也可以说已经构成了一个完成的软硬件产业链。早期应用于网吧的无盘工作站系统,技术不够成熟,运行不够稳定。现在网吧无盘系统技术成熟了,数据存储交换与网络传输速度有了本质的提高,运行速度比普通硬盘机还快。现在用5年前的
期刊
位于武昌友谊大道的湖北大学属湖北省重点综合性大学,拥有教职员工及学生近3万人,附近二十几家网吧因这座高校的存在应运而生。然而,友谊大道湖北大学附近却没有几家银行。  “以前只有一台ATM机和一家农业银行,出校取款,汇款都很不方便。不过一个月前,银联在学校附近新装了一台ATM机,现在取钱方便了不少,而且这台机器装在网吧里。”湖北大学研究生王亚洲告诉记者。    网吧装ATM机?此前闻所未闻    记
期刊
2008年北京奥运会筹备已进入两位数倒计时阶段,由北京市西城区文委、区科协联手举办,区文化产业协会承办的西城区第四次“网络科普夕阳红,快乐参与迎奥运”免费电脑培训活动于5月5日拉开帷幕,全区7个街道的7个网吧同时展开,370余名中老年人积极参加了此项活动。“网络科普夕阳红”活动是每年一次普及网络知识,增加中老年人学习机会的一项公益科普活动,深受西城市各个社区中老年朋友的喜爱,以往的每次活动都在西城
期刊
把女儿医疗款毅然赈灾    2008年5月1 7日,本来是4岁的女儿即将出院的好日子,孩子妈妈在医院等待丈夫来医院缴纳医药费,第二天就可以接女儿出院了,可是左右都等不来爱人的身影。直到下午才接到爱人的电话,说是去参加震灾捐款了,把本来准备给女儿付医药费的一部分钱(4700元)捐给了灾区人民!那时那刻,夫妻俩都已是泪水涟涟,是啊,灾区的孩子是每一个爸爸妈妈的孩子,每一个爸爸妈妈就是灾区孩子的爸爸妈妈
期刊