9月7日《魔兽世界》官方网站发布了一篇名为《被盗账号及物品修复说明》的文章。由此可见黑客盗号攻势之猛烈，不但疯狂开发盗号木马变种，在传播方面也下足功夫，有在网站挂马的，有伪造大脚插件捆绑木马的。就在几天前，贝壳安全收到用户反馈，分析出一种新型的《魔兽世界》盗号手法。

　　CHM文件捆绑木马再现，Q群爱好者惨遭毒手

　　CHM文件是一种“已编译的HTML文件”，是微软对帮助文件.hlp的升级，它利用开放的HTML使帮助文件更精彩实用。由于被越来越多电子书采用，这种格式开始被人们所熟悉。与此同时，CHM捆绑木马的方法早在几年前便悄然在黑客圈子里流传。

　　捆绑了木马的CHM文件

　　《魔兽世界》迟迟未通过审批，无法开通注册新帐号，作为一款重量级的网游，其帐号的价值可想而知。黑客便是利用了这种心理，在QQ群共享上散播捆绑了木马的CHM文件。同时为了降低用户的警戒心，该黑客把完整的帐号资料，包括安全提问问题，验证邮箱，以及密保卡图片都放在CHM文件中。

　　非常详尽的资料

　　据贝壳安全中心介绍，一个魔兽爱好者群的群主，某天突然有群成员反馈，说打开了该CHM文件后，魔兽帐号被盗。尽管已有人说帐号被盗，不过对于CHM文件大家似乎过于信任了，该群主还在本机运行了一次。至于有多少受害者，就不得而知了。

　　防盗号，玩网游重点推荐《贝壳木马专杀》，纯绿色，小于500K的体积，彻底清除十万种盗号木马。

　　定制木马，杀软无力

　　在虚拟机环境中进行染毒测试，双击CHM文件后，负责显示内容的hh.exe程序随机启动。当然hh.exe是无害的，它是系统负责打开CHM文件的程序，其职责是解读CHM文件内容，并重现给用户。当然也包括释放并执行木马。

　　CHM文件释放的木马1198.exe

　　通过QQ群共享传播木马，其影响范围是非常小的。范围越小，就越难收集到，安全厂商便越难对其进行分析并提取特征。

　　来自virustotal的分析，41款杀软，仅9款报毒

　　这一次的测试，各主流杀软，瑞星、卡巴、NOD32等依然无法检出。可见其传播范围虽小，杀伤力却不俗。至于贝壳云安全，在用户上报可疑文件样本后，5分钟后再次查毒，已能查杀该木马。

　　网游健康习惯保安全

　　1．即使是关系再好的人，也可能中毒，如果非必要，还是少从别人那里接收文件。尤其是别人说用过之后帐号被盗的文件，切勿模仿客服做染毒测试。

　　2．从黑客用来诱骗用户的帐号信息来看，盗号木马已经非常先进了。请不要将帐号信息、密保卡等资料存放在电脑上。

　　3．要保护虚拟财产，你需要多款杀毒软件。《贝壳木马专杀》兼容各种杀软，二次扫描10秒钟，未知文件不用怕，5分钟为你查出最新病毒，帐号安全有保障。

• 上一篇:预防TCP SYN攻击
• 下一篇:没有了