密保卡的噩梦——申请版主点亮_DNF地下城与勇士

|.Tiramisu.

ZxID：9112975

举报只看楼主使用道具楼主发表于: 2009-10-31 0

— 本帖被迷失弦月执行提前操作(2009-10-31) —

前不久在毒霸强大云查杀的海量收集下，发现了一种新型病毒，该病毒通过搜索特征码的方式找到用户何时输入用户名密码，与此同时遍历窗口找到用户打开密保卡图片的窗口，连同账号密码与密保卡信息一同提交到木马服务器。

所谓密保卡就是游戏公司推出的一项帐号安全保护服务。它是一个记录着10行8列数字的卡片，在执行敏感操作（如在幻想游戏中转让装备、修改QQ密码）时，系统将提示用户输入密保卡三个位置上的数字，全部输入正确才允许继续操作。由于密保卡每次随机选择三个方格中的数字作为临时动态密码，因而，这一动态密码每次都是不同的，盗号木马如果想盗取成功就一定要想办法获取密保卡信息。下面就一起来看看该病毒是怎样绞尽脑汁盗取用户信息的。

QQ密保卡

为了实现邪恶目的，这个马必须要安然到达用户的系统中，这时候就必须绕过第一道防线—-安全软件。病毒首先通过在指定范围内查找系统文件代码的方法对抗杀软的虚拟机，使杀软虚拟机执行Int 0 异常，虚拟机跑不出行为，自然就避开了部分杀软的监控。

为了给分析师的静态分析做足干扰，病毒作者不仅使用了变形与加花，还将所有网址，特征码等有用数据进行加密处理。根据解密出的特征码，病毒开始匹配内存数据，如果匹配到则保存地址进行 patch，得到用户账号与密码后病毒作者还会进行简单的核对，类似QQ号码的长度，号码中是否有数字之外的字符等，看来病毒作者也在提升自己的代码质量。

木马千辛万苦坚持到现在，已经实属不易，不过如果木马遇到的是警觉性高的用户可能会面临功亏一篑的危险，因为部分用户为了保护自己的账号密码会使用密保卡等这些高安全级别的密码保护方式。不过这类木马获取用户的密保卡信息会在用户输入密保卡的时候查找Windows图片传真查看器，画图板和ACDSee窗口等图片查看窗口，找到后则遍历进程，通过查找包含特殊字符串的方法得到密码卡所在路径。如果用以上的方法不能定位到图片密保卡文件，木马就会使用截图方式，对整个屏幕进行截屏保存，然后链接黑客服务器，上传盗取的数据。刚好用户没升级的那天遇到此类木马流行，后果可想而知。

WinHex查看ACDSee进程内存中图片文件的路径

病毒的这种手段对用户的账号信息造成了很大的威胁，建议用户在打开游戏登陆界面之前记录密保卡相关信息，出现登陆框的时候直接输入数据，避免登陆框和密保卡图片同时存在桌面的情况。也可以考虑其他密码保护方式，比如纸介质密保卡，手机Token等。同时开启安全软件的实时升级与文件监控，这样可以更直接更快速的防护新型木马的入侵。

大家注意保护自己的帐号

本帖de评分：共 6 条评分ＤＢ +70

迷失弦月	ＤＢ⁺¹⁰	谢谢分享
kaixin13	ＤＢ⁺¹⁰	优秀文章
达人2009	ＤＢ⁺²⁰	原创内容
519196556	ＤＢ⁺¹⁰	哇很恐怖哦！
oー乐バ拉面o	ＤＢ⁺¹⁰	好吓人
421227984	ＤＢ⁺¹⁰	我很赞同

密保卡的噩梦——申请版主点亮

帖子

密保卡的噩梦——申请版主点亮

相关主题