WOW账号再度陷入危机 认证器被攻破

新闻发布2

　　【游侠新闻】摘要：魔兽游戏火了，各式各样的魔兽病毒也随之慢慢发展，什么魔兽贼之类的病毒我们都已经耳熟能详了。但是几天前互联网上出现了一种新的病毒。他最强大的功能在于，可以感染受验证器保护过的魔兽账号。这则消息暴雪已经在数小时前确认了。也就是说目前，没有任何一种工具可以再确保你的账号万无一失了。
　　以下是暴雪蓝帖内容：
　　作者：Kropacius
　　经过我们的调查，这种叫做中间人攻击的病毒，已经变种多次，目前没有任何一种方法能确保你的账号100%安全。
　　受感染之后：
　　1. 在下一次登录魔兽时，系统会提示你要验证器的密码
　　2. 此时病毒会把此信息发送到另外一个服务器，同时把错误信息返回给暴雪。那么你界面就会显示错误。
　　3. 这时候，木马病毒就有时间去把刚盗取的密码更改为一个新的，或者是清光你的背包和银行甚至公会银行，然后删号。
　　如何检测是否你已经被感染了呢?
　　简单来说，先搜索一下你的计算机，看看有没有这个文件：“emcor.dll”。它通常存在于C盘，但我们强烈建议你搜索所有硬盘，并且升级更新你的杀毒软件。
　　中间人病毒简介：
　　中间人攻击(Man-in-the-MiddleAttack，简称“MITM攻击”)中间人攻击很早就成为了黑客常用的一种古老的攻击手段，并且一直到今天还具有极大的扩展空间。
　　在网络安全方面，MITM攻击的使用是很广泛的，曾经猖獗一时的SMB会话劫持、DNS欺骗等技术都是典型的MITM攻击手段。在黑客技术越来越多的运用于以获取经济利益为目标的情况下时，MITM攻击成为对网银、网游、网上交易等最有威胁并且最具破坏性的一种攻击方式。
　　中间人攻击是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。然后入侵者把这台计算机模拟一台或两台原始计算机，使“中间人”能够与原始计算机建立活动连接并允许其读取或修改传递的信息，然而两个原始计算机用户却认为他们是在互相通信。通常，这种“拦截数据——修改数据——发送数据”的过程就被称为“会话劫持。
　　建议：
　　1.及时给你的系统打上补丁。(最好用一些检测和下载工具，会更效率一些。)
　　2.不要点击网友发来的，你不确定的链接，或者图片和视频。
　　3.安装一些口碑较好的杀毒软件/防火墙/账号密码保险箱。
　　4.坚决不要登录一些不明网站，尤其是黄网，这个时代没有什么是绝对免费的。有人给你提供搜集和浏览而不所求任何回报，那是不可能的。
[pagesplitxx]
　
　　写此文的目的是让很多盲目跟风的人了解两种保密手段真实的作用和安全性。欢迎和谐讨论，人身攻击者恕我选择性失明。
　　密保卡
　　原理：
　　密保的原理其实很简单，就是给你一个巨长无比的密码，这个密码是由许多小块的密码组成的，你每次只用输入几个小块的密码来验证你的身份，就算盗号的截取了你输入的所有的信息，也无法盗取你的全部。到防盗的目的。
　　缺点1：
　　由于密保卡上密码的个数是有限的，每次要求输入三个，所以在输入多次以后，就可以将整个密保卡重绘出来。这样帐号就不能保证安全。但是在实际中，只有傻X才会这样去盗号，效率太低了。
　　缺点2(实体密保卡不会有此缺点)：
　　密保卡设计的初衷，就是实体卡在手上，计算机再牛逼的技术，也是无法获取的。但是目前越来越多的人使用图片文件形式的密保卡，或者存放在邮箱里面，让安全性大大降低。
　　针对以上这个问题，只需要做一些简单的屏幕录像和键盘鼠标输入获取就可以盗取帐号。
　　但是，目前最主要的盗号手段，却不是这个。因为有更好的方式，即使你用的密保卡是实体卡，拿在手上，也一样能盗取，这个我们后面再讲。
　　将军令
　　将军令可以看成密保卡的一个扩展，他也是每次登录时，产生一个与服务器对应的6位随机密码(至于产生方式，有兴趣的可以见后面的说明)，此密码在你使用一次之后作废。所以，他也可以做即使盗号者获取了你输入的全部信息，也无法知道下一个密码是什么，达到防盗的目的。
　　密保卡的两个缺点，将军令都不存在。
　　一，他的密码数量是无限的，不可以被重绘(除非破解加密狗的密码产生算法，但是这个几率是可以忽略不计的，盗号成本太高)。
　　二，他是实体的，跟我们的计算机没有直接联系。
　　但是不是将军令就如有些人想的那样无懈可击呢?我认为不是，请看下面的解释。
　　流行盗号原理
　　盗号者可以通过木马软件获得用户的计算机中几乎所有的信息，包括键盘鼠标输入，屏幕显示信息等等。
　　对于一台中木马的机器，目前的盗号木马的基本流程是这样的

[/url]

   　　其实简单概括起来，整个盗号就是三个步骤
　　一，通过允许玩家登录获取并验证用户的帐号密码。
　　二，然后造成用户断线。
　　三，通过木马界面骗取玩家帮自己输入登录时需要的3个密保卡密码。
[pagesplitxx]
　　我们假设将密保卡换成将军令。对于以上步骤，木马只需要将第三步“骗取3个密保卡密码”的功能改为“骗取将军令编号”就完全可以达到同样的盗号目的。
　　很多人认为将军令安全，是因为将军令没有密保卡上述的两个缺点。但是根据刚才阐述的内容，我们可以知道目前的主流盗号方式并不是针对这两个缺点开发的。对于这种模式的盗号，将军令依然无能为力。
　　结论
　　买将军令，最好以方便快速登录为主要理由，而不是其安全性
　　防范木马才是避免被盗的关键
　　附：将军令工作原理简介
　　-- 将军令其实是加密狗的一种，他的技术特点是与计算机不需要物理连接，少了很多与计算机连接的芯片，只需要一个时钟、算号器和显示屏，所以成本比较低。
　　-- 他的工作原理是通过当前的时间，算出一个看似无规律的6位密码。当然，这个密码并不是无规律的，要掌握其规律必须掌握此类加将军令的加密算法本身和此将军令固化的密钥。所以对于一般人来说是无法破解的。
　　-- 同时，在服务器端运行着一个与令牌端相同算法的程序，它在同一时间产生的密码与令牌产生的是完全相同的，当我们将令牌的密码通过客户端送到服务器，服务器只需要对比一下是否相同，即可验证用户身份。
　　-- 但是由于将军令的时钟无法100%与服务器相同，所以还是会有一些令牌会出现问题，这时候就需要用到官网给的将军令同步的功能将服务器和令牌时钟同步。
　　-- 将军令的密码产生间隔是1分钟
　　-- 将军令密码只能被服务器接收一次，接收后失效，必须等下一个密码。所以重复登录必须间隔1分钟。
　　最后留个名，转载请保留此行：7区阿卡玛 冲锋公会 死也性格
　　针对我说的这种木马，给大家一个快速判定的方法
　　一、如果上线不久就发现游戏掉线，一定要开始警惕
　　二、登录第二遍的时候，进入到输入密保卡的状态，你可以记录一下密保卡的前2位，比如A1 B9
　　三、按ESC键盘，重新输入用户名密码，再次进入输密保卡的位置，如果还是A1 B9，那么恭喜你，99%是木马，盗号者正等着你输入密保卡呢，赶紧换机器或者杀毒吧。
　　这个方法的原理很简单，因为盗号的已经在等待你输入固定的三个密保卡密码了，你无论取消进入多少次，他都只会让你输入那三个号的密码，而正常的服务器，每次登录传过来的3个密保的位置是不同的。
　　另外补充一些朋友的防盗方法
　　Post by gundam99999：
　　这样的盗号有个明显特征，正常断线是回到登陆界面，而是这种短线是直接客户端进程消失，这是因为需要通过重新启动客户端方式加载木马程序。
　　所以，如果短线是回到登陆界面基本无虚担心，如果游戏窗口无故消失，且没有任何保错，那就要小心了!!
　　昵称已被占用都被占用：
　　打好补丁，养成良好的上网习惯，中马的概率会低很多。当然如果万一中了而杀软没有检测出来的话也是一样的悲剧。
　　补充一下何为良好的上网习惯：
　　1.搜索引擎结果尽量用快照。
　　2.想要常用的软件尽量不要用搜索引擎的结果，尽量走官方渠道或者知名软件站。
　　3.下载了软件杀毒后再用，不从压缩包里直接运行程序，坚持解压后杀毒完毕再运行。
　　4.打开广告特别多的网页时要注意，一旦感觉页面加载很多东西立刻关掉。
　　5.天上不会掉馅饼，去看中奖消息的时候往往会让某些人真的中奖。
　　6.不是银行或者商业网站的话，不要装弹出的插件，除非你非常清楚插件的用途。
　　7.看清楚域名，往往留神几秒钟可以让你免除被洗号的命运。
　　当然如果中了马又怕复发的话，可以在重装系统的时候全盘格式化(如果收藏太多的话只能自己慢慢除马了，现在马可不会只待在你的系统盘)
　　PS：U盘不注意总有中招的一天，所以用U盘的时候请尽量用资源管理器浏览(快捷：WIN键+E)
　　斯文小火苗 ：
　　lZ我有一点想补充的。这个盗号木马程序做的很用心但是也很粗心，这个假的登录器装载了WOW登陆界面的声音。以便更真实，可是我的一个朋友有此玩游戏没有开声音。结果还是听到了登录界面应该有的音乐。发现了自己中了这个木马。
[pagesplitxx]
　　以下是近期国内网络病毒监控中心发布的消息。
　　提醒您注意：在今天的病毒中“初始页”变种和“魔兽贼”变种值得关注。
　　一、今日高危病毒简介及中毒现象描述：
　　Trojan/StartPage.ewr“初始页”变种ewr是“初始页”家族中的最新成员之一，采用高级语言编写，经过加壳保护处理。该木马的图标会被设置成RAR压缩包样式，以此达到欺骗用户的目的。“初始页”变种ewr运行后，会弹出标题为“安装程序解压缩数据错误，按确定退出安装!”的窗口。当用户点击“确定”按钮后，该木马的安装程序会将自我删除，以此消除痕迹。“初始页”变种ewr会在系统“\Documents and Settings\All Users\「开始」菜单\程序\启动\”文件夹下创建恶意脚本文件“y2.jse”并调用运行。通过IE弹窗的方式访问网页“[url]http://wwv.c*3.net/index2.htm”，以此达到增加指定站点访问量的目的。删除IE浏览器的桌面图标，之后会伪造IE浏览器快捷方式，以此实现诱骗用户点击运行的目的。通过这个快捷方式启动的IE浏览器会自动访问“http://wvw.39*16.com/?x05”、“http://wvw.17*82.com/?x05”或“http://wvw.63*16.com/?x05”这些站点，从而给骇客带来了非法的经济利益。“初始页”变种ewr还会破坏“自定义桌面”中的“IE浏览器”桌面图标设置，致使用户无法再重新创建IE浏览器桌面图标。“初始页”变种ewr会通过结束并重新运行“explorer.exe”的方式达到刷新桌面图标的目的。另外，其还会删除某些安全软件的桌面图标。
　　Trojan/PSW.WOW.cqi“魔兽贼”变种cqi是“魔兽贼”家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，经过加壳保护处理。“魔兽贼”变种cqi是一个专门盗取“梦幻西游”网络游戏会员账号的木马程序，其会随网络游戏“梦幻西游”一同启动运行后。“魔兽贼”变种cqi运行后，会首先确认自身是否已经插入到“explorer.exe”和游戏进程“my.exe”中。如果已经插入其中，则会利用内存截取技术来盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃得的信息发送到骇客指定的远程站点上，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成了不同程度的损失。另外，“魔兽贼”变种cqi会通过在被感染系统注册表启动项中添加键值的方式实现开机自启。
　　二、针对以上病毒，比特网安全频道建议广大用户：
　　1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开，如邮件监控、内存监控等，目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
　　2、请勿随意打开邮件中的附件，尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统，在邮件网关处拦截病毒，确保邮件客户端的安全。
　　3、企业级用户应及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全，应关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。
　　截至记者发稿时止，江民的病毒库已更新，并能查杀上述病毒。感谢江民科技为比特网安全频道提供病毒信息。
[pagesplitxx]
　　【防盗方法】如果你被盗了N次，请务必进来看看!
　　看前请三思：思考下有兴趣看没，思考下能否看完，思考下看完想骂人不!谢谢合作~
　　一般看此文章的人，第一种人是被盗了N次，经历了愤怒、伤心、无奈，那么请你继续看下去，也许你的号，从此以后就不会再被盗;第二种人是没有被盗过一次，那么我替你感到高兴，也希望你继续看下去，别疏忽了自己帐号的安全，因为你还未尝试过被盗的滋味，真的很让人愤怒;第三种人是盗号的，我知道你们也是一种职业，但你们不要忘了，你在拿别人的辛苦钱来养活自己，这样感觉很可怜，动动手，哪怕自己打G、代练都是自己真正的劳动所得，花着问心无愧!
　　要防被盗，就要知道盗号的原理，我没学过电脑，但我知道通俗的原理，说的比较外行你们别见笑!
　　盗号现象(务必看下，是不是和你的情况一样)：
　　有些人在游戏时，突然性掉线，然后再重新输入帐号、密码、密保卡后却显示帐号、密码、密保卡输入错误或是帐号被锁定，再怎么输入还是错误，而且最重要的一个特征是：你每次输入帐号、密码后，所要输入的密保卡坐标一直都不变，例如第一次输入帐号、密码后所要输入的密保卡坐标是C6、E7、A9，确认后错误，再输入帐号、密码，登录后，所让你输入的密保卡坐标还是C6、E7、A9，第三次、第四次依然是这样，这时我可以90%的确定你被盗号的盯上了。重启电脑，再登游戏，完蛋了，好点的钱没了，坏一点的材料和钱没了，更坏的就是啥都没了。装备可以恢复，材料和钱是恢复不成的!愤怒吧!伤心吧!赶紧打电话恢复吧!
　　盗号原理：
　　现在魔兽盗号大多数是通过木马将你的帐号、密码、密保卡，乃至将军令进行记录，然后通过邮件发送到盗号人那里，你这边在输入，他那边在接收，等于你在为他输入这些!有些人会想，密保卡输入一次就换坐标了，我这边输入确认后他再输入确认肯定进不去!但是盗号的给你设计了一个假的帐号、密码、密保卡输入框，你所输入的这些，点击登录后其实并未直接提交到服务器，而是提交给了盗号者，通过他来进行真正的等录，所以你输入的帐号、密码、密保卡都是为他输入的!这种木马应该很严谨、能精确到1秒之内!
　　首先，他通过一些方法使你网络有问题，将你魔兽强制下线，对盗号者来说这应该很简单。这时你肯定认为是网络掉线，或是怕被盗，急着上线挤掉盗号的。于是再打开WOW.exe，进入游戏，输入帐号、密码，这是你所输入的帐号、密码已经在盗号那边输入上了，你点登录的前一秒，盗号者已经点等录了，或是他早已登录，只是等待密保卡，他会把他电脑上所需要的密保卡坐标一个一个显示在你电脑假的坐标上，你输入第一个坐标密码，确定一下就提交给盗号者，盗号者再将需要的第二坐标显示在你电脑上，你继续输入坐标密码，确定后又提交给盗号者，然后就是第三个，最后你上不去，他上去了!
　　盗号者在将你魔兽强行掉线的时候，其实这时的帐号很安全，盗号者只是单纯的让你掉线，并没登录你的帐号，因为他并不知道你的密保卡，而此时你单纯的认为只是掉线，继续登录你的游戏，或是感觉盗号者登上你的号了，你就想着迅速上号把他挤下来，而结果却恰好中了他的埋伏，为他输入了你的帐号、密码、密保卡。而你又感觉他能把你挤下线，你却不能把他挤下线，很是奇妙吧。
　　防盗号方法(一字一字的看)：
　　当你的帐号真正被盗号者搞掉线后，无论你输几次帐号、密码，坐标都是那三个，暂时不会变的，这可能也是盗号的BUG，我们就通过这个BUG防止被盗!
　　你在游戏的时候，如果掉线，这时要注意了，可能是真正的网络不好掉线了，也肯能是盗号的迫使你魔兽掉线，这时回到帐号、密码输入界面，你可以输入真正的帐号，但请你务必不要急着输入真正的密码和密保卡的坐标密码，你可以随便编个密码，再随便遍几个密保卡坐标密码，这时你要记住坐标位置，例如是C5、F9、D7，记好后点确定，肯定是帐号、密码、密保卡错误或帐号被锁定。你再输入帐号，然后随便输入密码，点登录后，仔细看看和上次的三个坐标一样不一样，如果和上次的坐标不一样，就别嫌麻烦，再试两次，依旧和上次的坐标的不一样话，那请你大胆上游戏吧!而如果和上次的坐标一样，那么请你毫不犹豫的打电话锁定帐号，然后仔细的全盘杀毒，尤其是C盘和魔兽世界所在盘，推荐卡巴斯基+360顽固木马专杀大全一起杀，绝对有收获!我家电脑开不了卡巴斯基，就用了360新推出的杀毒软件+360顽固木马专杀大全一起杀，杀了C盘的几个木马，也杀掉了我魔兽世界文件里的一个木马!至此，我魔兽没掉过线!
　　另外说明：这个防盗方法适用于个人电脑以及网吧，有时也适用于其他有关密保卡的游戏，例如DNF等，但也只适用于近期，毕竟木马也在更新、在修复BUG，希望你们对防盗措施也想点新的方法。
　　防盗号的几点小要求：
　　1.电脑要定期打补丁，至于通过什么软件打补丁，看个人喜好，但一定要定期去打补丁，防止漏洞!
　　2.杀毒软件和防火墙必须要有，而且也要天天更新，别嫌麻烦，不然你号被盗后重新赚钱就更麻烦了!另外，我发现360新出的杀毒软件确实不错，开着“实时防护”能防止木马访问文件(说的可能有点不专业，反正就是防止木马工作)，我曾试过将木马恢复后游戏，上面有拦截记录，你只会掉线，但你的帐号、密码不会发送给盗号者。
　　3.为了避免杀毒、杀木马不全面，杀毒和杀木马时开两个软件一起杀，我开的是360杀毒软件和360顽固木马专杀大全，推荐用卡巴斯基，我家电脑带不起来很郁闷!360的官网只要去百度搜360，然后第一个就是了。
　　4.帐号、密码、密保卡不要以文件的形式放在电脑里，尤其是不打补丁的电脑，这样只会让盗号者盗你的号时更随意，将密保信息手抄下来或是存在手机里，都可以!
　　5.尽量别去比较“邪恶”的网站，实在受不了啦去网吧上，但尽量别在重启前上游戏。
　　写的不够好，本人还是才疏学浅。对大家有帮助了希望大家赞一个，感觉我写的比较烂的也别骂我，毕竟我是为了大家帐号安全着想，本意是绝对好的。谢谢~