魔兽盗号转战Q群 定制木马杀软无力
9月7日《魔兽世界》官方网站发布了一篇名为《被盗账号及物品修复说明》的文章。由此可见黑客盗号攻势之猛烈,不但疯狂开发盗号木马变种,在传播方面也下足功夫,有在网站挂马的,有伪造大脚插件捆绑木马的。就在几天前,贝壳安全收到用户反馈,分析出一种新型的《魔兽世界》盗号手法。
CHM文件是一种“已编译的HTML文件”,是微软对帮助文件.hlp的升级,它利用开放的HTML使帮助文件更精彩实用。由于被越来越多电子书采用,这种格式开始被人们所熟悉。与此同时,CHM捆绑木马的方法早在几年前便悄然在黑客圈子里流传。
《魔兽世界》迟迟未通过审批,无法开通注册新帐号,作为一款重量级的网游,其帐号的价值可想而知。黑客便是利用了这种心理,在qq群共享上散播捆绑了木马的CHM文件。同时为了降低用户的警戒心,该黑客把完整的帐号资料,包括安全提问问题,验证邮箱,以及密保卡图片都放在CHM文件中。
据贝壳安全中心介绍,一个魔兽爱好者群的群主,某天突然有群成员反馈,说打开了该CHM文件后,魔兽帐号被盗。尽管已有人说帐号被盗,不过对于CHM文件大家似乎过于信任了,该群主还在本机运行了一次。至于有多少受害者,就不得而知了。
防盗号,玩网游重点推荐《贝壳木马专杀》,纯绿色,小于500K的体积,彻底清除十万种盗号木马。
定制木马,杀软无力
在虚拟机环境中进行染毒测试,双击CHM文件后,负责显示内容的hh.exe程序随机启动。当然hh.exe是无害的,它是系统负责打开CHM文件的程序,其职责是解读CHM文件内容,并重现给用户。当然也包括释放并执行木马。
通过qq群共享传播木马,其影响范围是非常小的。范围越小,就越难收集到,安全厂商便越难对其进行分析并提取特征。
这一次的测试,各主流杀软,瑞星、卡巴、NOD32等依然无法检出。可见其传播范围虽小,杀伤力却不俗。至于贝壳云安全,在用户上报可疑文件样本后,5分钟后再次查毒,已能查杀该木马。
网游健康习惯保安全
1.即使是关系再好的人,也可能中毒,如果非必要,还是少从别人那里接收文件。尤其是别人说用过之后帐号被盗的文件,切勿模仿客服做染毒测试。
2.从黑客用来诱骗用户的帐号信息来看,盗号木马已经非常先进了。请不要将帐号信息、密保卡等资料存放在电脑上。
3.要保护虚拟财产,你需要多款杀毒软件。《贝壳木马专杀》兼容各种杀软,二次扫描10秒钟,未知文件不用怕,5分钟为你查出最新病毒,帐号安全有保障。
