随着《魔兽世界》在国内的商业化运营,盗号问题就应运而生,并随着游戏的发展而发展。不夸张的说,现在已经很难找到从公测开始WOW而一直没被盗过的玩家了。与其感叹国人盗号技术发达 ,不如想想自己有没有把安全防护做到位,是不是让盗号者有机可乘。账号安全是一门学问,希望大家通过本文可以全面提升自己的账号安全等级,甚至像法师的“冰箱”一样,免疫一切盗号手段。
盗号和防盗是一场没有尽头的博弈,知己知彼是基础中的基础,让我们先一起来了解下盗号者的各种“花样”。
盗号大致分为木马盗号和骗号两种。其中,通过发布虚假中奖信息,引诱玩家输入账号密码的一些骗号手法,玩家只要牢记没有GM标签的人统统不要相信,就基本可以无视之。这点不在本文中详细讨论。
WOW的盗号木马,在过去两年中,经历了一个不断升级发展的过程。
1. WOW早期,盗号者一般把盗号木马放在网页上,或者利用网页的JS脚本、ActiveX插件等功能把盗号木马下载到用户电脑上,稍微强一点的还能把盗号木马绑定到图片、动画、视频里,然后诱骗用户点击。在WOW刚开始收费的时候,许多玩家使用外挂,而很多外挂程序本身恰恰就是一个木马。这时期的木马,绝大多数停留在键盘记录的原始阶段。由于《魔兽世界》客户端本身不具备任何的防盗能力,而九城也还未推出任何防盗措施,导致这一时期的盗号非常频繁,是第一个盗号高潮。与此相对的,玩家防盗也异常简单。比如,错位输入法,Copy输入法等等都是反键盘输入的有效手段。
2. 安全锁与双重密码的出现,迫使盗号木马第一次进行全面升级。九城推出的安全锁和双重密码功能很大程度上灭杀了早期的键盘记录木马。但很快,截屏木马全面破解了双重密码,鼠标点击输入形同虚设。其中部分木马更是可以直接从内存中读取账号信息,直接导致了之前的错位输入法,Copy输入法全部失效。这一时期由于公会忙于开荒,《魔兽世界》金币价格大涨,极大地刺激了盗号,导致用户账号被盗频频发生。值得一提的是,九城的安全锁还是比较安全的,基于九城通行证的https安全页面,只是每次登录时都需要登录网页输入安全锁密钥,稍有麻烦。
3. 密保卡时期。密保卡的横空出世对于当时的盗号者来说,无疑是一个噩耗。银行级的安全等级,一时间让很多木马束手无策。那时,在论坛上哭诉“我被盗了”,换来的绝对是“你没绑密保卡吧”、“活该!”之类的回答。但是,被九城和广大玩家寄予厚望的密保卡也仅仅支持了半年的不破金身。
盗号者用盗得的账号、密码登录九城的账号管理中心,改密码,再选择更换魔兽世界密保卡。换密保卡要先输入原密保卡的三个动态密码。于是盗号者对木马发出指令,这时 密保卡用户会在玩游戏时突然掉线(不关电信和九城的事,是木马搞的鬼),然后出现要求用户输入密保卡上的三组密码的提示,而这个输入密保卡密码的界面是木马程序用来欺骗用户的,并不是真正的游戏客户端,由于从界面上无从分别,一般用户难分真假,而要求输入的三组密码正是更换密保卡的3组密保。不明底细的用户,稀里糊涂地输入了魔兽世界密保卡密码,结果就是盗号者用他手上的密保卡替换绑定了这个账号,至此,账号彻底易主。
在此之后,九城针对这一类木马,在更换密保卡流程中加入了密保卡序列号的要求,导致这一类木马失去了作用。道高一尺,魔高一丈。真正破解密保卡的木马也终于出现了。例如,“酷狮子”系列盗号。该木马采取替换WOW客户端启动文件的手段,仅在用户启动游戏时激活。“酷狮子”盗号木马会定时将魔兽窗口关闭,引诱用户多次输入密保卡中的密码,利用列举的方式,盗取密保卡。一般来讲,盗取了密保卡中60%以上的密码组,就基本可以完成盗号。
客观的说,即使如此,只要你能勤换密保卡,账号还是处在一个相对安全的境地。
截至目前,盗号木马大致经历了以上3个阶段的发展。我们的防盗方法也是针对木马的各种形态而产生的。
1. 巩固操作系统,全面武装爱机
或许你对于自己操作系统的安全程度不甚了解,那么使用360安全卫士加任意一款杀毒软件是个不错的选择。说到360安全卫士,很多人不是没听说过就是不会用,有部分人只是安装完了就不管了,也不看有什么功能,其实那和没安装一样。除了把系统漏洞都打上,还要定期清楚恶评插件和扫描流行木马,其中保护项的功能也要打开,值得一提的是360安全卫士的进程管理器可以看到进程的安全级别,对于未知安全的进程,请大家关注。
只是,现在的新型魔兽盗号木马会把自身功能模块(或者自身程序代码)写入WINDOWS的系统文件中,例如资源管理器EXPLORER.EXE,声卡、显卡的驱动程序等,就这样潜伏了下来。而且就算是安全模式,一开机魔兽世界盗号木马都会被XP系统加载,比以前的魔兽盗号木马通过修改注册表来启动加载高明多了。 魔兽世界盗号木马被加载后就被激活了。现在的新型魔兽盗号木马,激活后是没有独立的内存进程的,查看内存进程是看不到它的。那么它躲藏在哪里呢???它把自身注入到正常的系统进程SVCHOST.EXE中去了,XP系统起码有5个SVCHOST.EXE进程,是负责用户上网功能的(不要随便关闭这些进程哦,会上不了网di),魔兽世界盗号木马随便找个进程都能躲藏进去。
