瑞星没能查出的木马盗了我的游戏账号【求助】
我的热血传奇账号被盗的过程
听说网络游戏盗号如何厉害,今天我总算是见识了。
因电脑更换硬件后,遇到了软故障:安装WIN98一直不正常,安装不了热血传奇客户端,系统随时崩溃,就算是将硬盘重新分区再装也不行。于是,今天花了半天时间,改成安装XP,到下午四点多,总算安装成功了。于是安装好传奇客户端,到便宜外挂网站www.bywg.com下载外挂安装文件。这时候,发生了奇怪的事情,下载速度先是比较快(平均约90K),但下载结束后却经历了一个漫长的转入存放目录的过程,这时候系统速度变得很慢(我以前玩游戏一般都用98,没怎么体验XP下的速度),我以为这是正常现象,毕竟我的电脑太衰了(intel815ep主板/PIII667/40G5200硬盘/160M/16M显卡),中间有一阵我忍受不了这种漫长的等待,重新启动电脑后,再次到www.bywg.com下载,这次比较快就完事了,于是安装外挂。需要说明的是,由于是新安装XP,系统在联系微软站做自动更新,我以为系统速度慢和这个也有很大关系。这时候已经五点多了,于是我就做饭吃去了。
6:30分,吃过饭后上线,我习惯地先开外挂再上号。在开便宜外挂的时候,又出现了一件奇怪的事:怎么有个安装进度条一刷而过?(被盗后我才把这安装进度条抓了图),最郁闷的是,因十多天没能正常玩游戏的我,这时候完全没在意这个变化,还以为这是外挂在XP下启动的正常现象。回想起来,当这个外挂启动后,系统变得特别慢,我却仍然没在意,真他奶奶的恨死自己的粗心了,我日!接下来上号进游戏,但在呼出外挂的时候,我就被弹出游戏了,再进一次,能进了,跟朋友说了几句外挂不能用,问他们能不能用,他们都说能用。这时候,我还是没意识到问题的严重性,还在感觉我这破电脑安装XP来玩传奇跑动速度,看跟98相比怎么样,觉得是慢了些,心想马上到街上去,看能不能再搞根内存条,让系统流畅一点。于是就上街了,大概40分钟后回家再上传奇:我日,我下线的时候是战士号,怎么再上线是法师号呢?马上选择战士角色进去一看,完了,人站在幻境二层北,全身都光了——传说中的盗号竟然发生在我身上了,日日日日日!这时候心里那个恨了,非一个日字能够表达,所以我一口气就用了五个。顺便说一句,其间我上了自己的BLOG,登录一次进去后,再登录已经进不了了,郁闷:可能BLOG也着盗了!
东西没掉多少,但着欺负了的感觉不是一般意志薄弱的人能承受的,幸好老子神经还比较粗,着得住,只是郁闷了五分钟:账号下2个角色,战士号身上圣套+13号+37裁决没了。我没绑账号,但仓库是绑了密宝的,盗号的没能进去。可能盗号的还没来得及换角色进我法师号吧,法师站在幻境七层角上,身上12的魔杖/14号/法神还在。于是赶紧把身上的东西取下来放到仓库里,在会里喊了声着了,号被盗了……下线,下线……对不起啊,玫瑰婆,我一直没听你的,没双绑,下线的时候就得把装备放仓库,这下让你慢慢笑你英雄无敌义薄云天侠骨丹心的红卫兵哥哥我了,晕晕晕……
下线后,慢慢回忆被盗过程,自己的粗心大意我就不用再批判了,被盗的人是伤心的人,照我们会里的玫瑰婆的语言来说就是:猪!(龟儿一点同情心都没得哈,嘿嘿——开玩笑)
下面主要将这个绑在便宜外挂上的木马情况给大家介绍下,希望大家别再跟我一样中招:
我用的XP系统,中了这个木马后的表现是:
1、启动BY时,如果看到有飞快闪过的一个安装进度条,那就恭喜你中木马了。这时候“登陆”框是灰化的,你会以为是防火墙阻止了它吧?于是就会点开防火墙增加安全规则——允许BY通过防火墙。日啊,这一步动作就等于自己在砍自己的头:你找到的BY主程序可能就是被换过了的BY主程序!
2、启动绑了木马的BY后,过一小会,它会自动关掉病毒监控和防火墙(我用的是瑞星2005),这时候你再手动开防火墙已经不起作用了。在系统进程中,除了正常的BY主程序进程和update.exe进程,你还会看到一个名为PYWG.exe的进程,这个就是木马,它没有BY的图标,而是普通文件夹的样式,而且要注意它的名字是PY,而不是BY。
3、按F12呼出外挂,会自动弹出游戏。
4、木马进驻以后,会在c:\documents and settings\lzz\local setting\temp下产生一个文件夹:IXP000.tmp,这时候如果你打开这个文件夹,就会令人吃惊地看到:这里面竟然还有一套安装好的BY,除BY主程序外,它甚至还包括了UPDATE.exe,这就是盗号的木马了。5、我初步分析了一下,这个木马的原理应该是:入侵BY网站将木马程序捆绑到BY下载点的源文件上,下载者下载安装(我是将BY安装到D盘的)以后,当你双击启动桌面上的BY快捷方式,它才释放木马体到c:\documents and settings\lzz\local setting\temp下(没启动BY快捷方式时不会有反应),所以这时候你会看到飞快闪过的安装进度条。一般你第一次启动时是没法登录外挂的,系统变得特别慢,这时候你想关掉外挂重新进都很难,得等半天。等木马在后台准备好了,你再重新开外挂,一切正常了,看不到什么安装进度条,登录外挂也十分顺利,但是你进入游戏,按F12呼外挂,你仍然会被弹出来。
由于我的主账号呼不出外挂,在多次尝试后仍然不行,再加上这时候朋友要放些升武器的首饰在我号上,主账号仓库满了,我就上了另外一个仓库号(这次没再开外挂),事后检查,没开外挂的号就没中招,也许这能说明,这个木马它是临时针对启动了带马外挂后登录的账号,并非一直驻留。另一点说明的是,我的仓库号在带马机器上登录前,我先改了密码(打开记事本,输入含有密码的字符,再复制出密码,进游戏的时候不在键盘上输入,而是将复制的密码粘贴上去)。当然,也有可能是盗号的还没来得及进我这个仓库号吧。
最后说明的是,我发现号被盗,马上升级了瑞星杀毒到17.38.22,防火墙17.32,用瑞星杀毒查杀,结果是没病毒
