Board logo

标题: [历史] 有既能盗RO账号又能盗QQ账号还能让电脑强行关机后开不了机反复重启的木马吗? [打印本页]
作者: lily^^    时间: 2010-5-4 13:50     标题: 有既能盗RO账号又能盗QQ账号还能让电脑强行关机后开不了机反复重启的木马吗?

如题。。
希望高人解答。。最近被盗了。。问我借号的朋友说中了如题的木马。。
谢谢
作者: 丁骨牛排    时间: 2010-5-4 13:51

关键是你号的东西也悲剧了?
作者: 花开花落几多愁    时间: 2010-5-4 13:52

有,现在的木马都很高端
作者: lily^^    时间: 2010-5-4 13:53

RO被盗了,因为朋友QQ上问我借号。。然后就借了。。然后就被盗了。。嗯。。在骗子区有帖子。。嗯。。还发生了误会~~><泪奔

[ 本帖最后由 lily^^ 于 2010-5-4 13:54 编辑 ]
作者: lily^^    时间: 2010-5-4 13:54

原帖由 花开花落几多愁 于 2010-5-4 13:52 发表
有,现在的木马都很高端

哦。。
作者: intro    时间: 2010-5-4 14:10

反复重启,什么程序?
按木马的定义来说,重新启动机器并不是单纯的木马.
作者: 迷糊的安安    时间: 2010-5-4 14:11

这种木马十多年前就有了,一切要输入密码的东西都逃不过,监视网络连接程序和记录键盘都是很容易实现的功能,认真学过几个月编程的人基本都会,反复重启不过是在启动项里加个“shutdown -a”这么简单

要防范木马,还是那几个老办法,不可靠站点别去,木马防火墙常开,来历不明文件别打开,去打印社用过U盘回来一定要禁用自动运行然后杀毒或者干脆格式化
作者: 拿黄瓜敲桌子    时间: 2010-5-4 14:17

他被人HACK了
作者: 元灵武士    时间: 2010-5-4 14:39

原帖由 迷糊的安安 于 2010-5-4 14:11 发表
这种木马十多年前就有了,一切要输入密码的东西都逃不过,监视网络连接程序和记录键盘都是很容易实现的功能,认真学过几个月编程的人基本都会,反复重启不过是在启动项里加个“shutdown -a”这么简单

要防范 ...

重启是-r吧  
作者: 鬟殇梦    时间: 2010-5-4 14:56

上星期我也中了。无限自动注销病毒。。我立刻重装改密码了
作者: Again    时间: 2010-5-4 14:58

Trojan.Win32.Graypeg.rbk
灰鸽子(变种)
作者: 死海底的比目鱼    时间: 2010-5-4 15:45

软键盘输入能防吗。
作者: tophjkl    时间: 2010-5-4 16:49

不能防
作者: tophjkl    时间: 2010-5-4 16:56

目前来说最可靠的对付木马的方法是用MD5校检器,你把干净的客户端(或者游戏文件)用MD5码检测,得到一个MD5码,然后每次启动都检测一次结果一样就安全。不一样你就小心了
作者: intro    时间: 2010-5-4 17:01

软键盘一般都能防,因为是打乱顺序的,而且无法记录键盘.
作者: sexx    时间: 2010-5-4 17:07

如果还出不了门,打不出电话,就不简单的是病毒的问题了,还是找道士吧
作者: tophjkl    时间: 2010-5-4 17:10

软键盘没用的,当年WOW还有密码卡,一样被盗。你以为那个软键盘就可以防的到?
作者: intro    时间: 2010-5-4 17:28

软键盘还是可以防止传统键盘记录的.
除非是特别针对软键盘设计的记录程序,或者是通过读取内存,读取传送码的其他方式.
要入侵,可以走门,可以走窗,可以走地底.方法有很多.wow的密码卡被盗并不证明软件盘不起作用.
作者: tophjkl    时间: 2010-5-4 19:55

根本就不需要针对,随便你软键盘怎么输,最后都会到用户名和密码两栏,人家只要控制到这个就行了。
作者: intro    时间: 2010-5-4 19:58

控制什么?
传统的键盘记录程序记录的就是硬键盘,软键盘按键是无法记录的.
作者: 素猫    时间: 2010-5-4 20:08

原帖由 intro 于 2010-5-4 19:58 发表
控制什么?
传统的键盘记录程序记录的就是硬键盘,软键盘按键是无法记录的.

截屏+光标位置记录 想做的话理论上做的到的
作者: intro    时间: 2010-5-4 20:15

仙境传说是老游戏了,现在很少有针对它制作的恶意程序.
wow则不一样,有定制的恶意程序.wow被盗并不等于软键盘没用.

截屏,录屏软件需要系统资源比较大,实现上难度较大.一般的软件是不可能做到的.
同样要花这么点功夫去盗ro的号,还不如截取传送码比较简单.ro的密码是明文传输的,现在应该还是这样.
作者: tophjkl    时间: 2010-5-4 20:15

原帖由 intro 于 2010-5-4 19:58 发表
控制什么?
传统的键盘记录程序记录的就是硬键盘,软键盘按键是无法记录的.

那你就回答下,你软键盘输入的是什么好不,
作者: 陳天橋    时间: 2010-5-4 20:27

其實就很簡單的木馬,記錄鍵盤按鍵順序,然後發送到某郵箱,至於關機可能是遠程遙控
作者: 天使喝可乐    时间: 2010-5-4 20:36

原帖由 tophjkl 于 2010-5-4 16:56 发表
目前来说最可靠的对付木马的方法是用MD5校检器,你把干净的客户端(或者游戏文件)用MD5码检测,得到一个MD5码,然后每次启动都检测一次结果一样就安全。不一样你就小心了

目前已经出现不同文件同一个MD5的技术
作者: tophjkl    时间: 2010-5-4 20:51     标题: 回复 #25 天使喝可乐 的帖子

那个是轻量级,对于程序处理坐到这一步还有待N人去研究。不过你可以用双检测啊,MD5和SHA-1两种校检方法对付

[ 本帖最后由 tophjkl 于 2010-5-4 20:54 编辑 ]
作者: 死海底的比目鱼    时间: 2010-5-4 20:54

跟朋友几个人共用十几个帐号,一台机中木马就Over了…
作者: intro    时间: 2010-5-4 20:58

原帖由 tophjkl 于 2010-5-4 20:15 发表

那你就回答下,你软键盘输入的是什么好不,


我说传统的键盘记录软件无法记录软键盘.
软键盘有如下特征
1.随机位置.
2.不使用机械键盘输入.
因次才不便于记录.一般能够记录的部分是键盘输入以及鼠标(包括屏幕位置,点击动作).

在传输过程中被窃听不属于我说的范围.
作者: intro    时间: 2010-5-4 21:07

原帖由 天使喝可乐 于 2010-5-4 20:36 发表

目前已经出现不同文件同一个MD5的技术


只能做到这一步而已.
http://en.wikipedia.org/wiki/MD5
根据wiki上面所提及的,最新的md5碰撞的结果.2008年已经可以伪造证书文件.(核对文件的md5码,而非核对文件内容.)
http://www.cnbeta.com/articles/59117.htm
根据这上面的报道,可以使用普通计算机生成不同内容但相同md5的文件,只需要几秒钟.

目前根本没有技术可以
1.根据md5生成可以使用的程序.
2.修改一个程序,使修改后的md5与修改前一致.

另外,恶意程序一般不会修改主程序.你有见过修改rag.exe的恶意程序吗,请举例.

[ 本帖最后由 intro 于 2010-5-4 21:09 编辑 ]
作者: tophjkl    时间: 2010-5-4 21:14

你要知道随便你怎么输入,最后都会输入到用户名和密码两个窗口里,然后再被封装发走。只要控制住这个过程,随便你怎么输入都是一样的
作者: 素猫    时间: 2010-5-4 21:16

觉得聊的太技术化了,LZ好象是怀疑朋友了把,是朋友就信任他,不信任就别用朋友两个字

[ 本帖最后由 素猫 于 2010-5-4 21:34 编辑 ]
作者: tophjkl    时间: 2010-5-4 21:17     标题: 回复 #29 intro 的帖子

不修改主程序,木马怎么知道你的程序什么时候启动啊。不要把修改想的是个一个很大动作,
作者: intro    时间: 2010-5-4 21:24

原帖由 tophjkl 于 2010-5-4 21:17 发表
不修改主程序,木马怎么知道你的程序什么时候启动啊。不要把修改想的是个一个很大动作,


软键盘的部分,我只针对软键盘这一输入过程.你说的那个是传输过程,两码事情.


看来你不熟悉恶意程序.恶意程序(木马,病毒,蠕虫)都是通过复制自身到c盘系统目录,然后写注册表自启动.
修改对一般人而言是难以觉察的,但是对md5码而言是不可能的.你随便修改任意一个字符,md5就会变动.
但在我看来用md5核对程序是无必要的,因为恶意程序并不太这样做.另外你没法保证一开始就是干净的.
作者: zxb120631    时间: 2010-5-4 21:31

我记得以前看到有本书上介绍WINRAR的漏洞,可以制成重启的软件,恶搞学校里的烂电脑,虽然系统有还原卡,只能够弄一次。
作者: tophjkl    时间: 2010-5-4 21:46     标题: 回复 #33 intro 的帖子

明显是你不清楚,木马(以此来代表恶意程序)如何自启动和修改程序这事没多大关系
第一,他肯定要修改程序的一部分,不然这个木马怎么检测程序是否启动?然后又如何去掌握你输入的信息?
第二,如果木马不修改程序,只有首先在注册表找到程序对应的信息,通过这个来判断。而且这样木马也会改动程序,不然会经常检索程序是否符合,要浪费不少资源的。然后是最外层拦截(这个最安全),没封装确实不太难,但是有封装的话,就等于说发木马的人要么就是准备破译,要么就是直接木马破译——前者麻烦,后者耗不少资源。
第二条方案是很安全,但是对于盗号的人来说,回报实在不够。
而且水平足够高的话,可以直接把木马做成DLL形式,随游戏一起启动,系统包括杀毒软件会默认为这就是游戏的一部分。典型的例子就是对付WOW去年的一种病毒,一两个月左右,卡巴斯基才最先做出反应。
作者: Again    时间: 2010-5-4 21:51

原帖由 tophjkl 于 2010-5-4 21:46 发表
明显是你不清楚,木马(以此来代表恶意程序)如何自启动和修改程序这事没多大关系
第一,他肯定要修改程序的一部分,不然这个木马怎么检测程序是否启动?然后又如何去掌握你输入的信息?
第二, ...

我怎么越瞅这特征越像是当年的3721和现在的百毒助手
作者: intro    时间: 2010-5-4 21:58

你可以去看一下著名的控制程序灰鸽子,是如何判断进程是否存在,以及如何截取重要信息的.
其中并不用修改其他程序的任何部分.
代码无论制作成什么格式,只有exe,com,scr才可以运行.其他都需要加载入其他主载体才可以.
杀毒软件是通过特征码辨别恶意程序的,与dll或者说随某某程序同时启动是无关的.

拿wow来举例是不合适的,因为ro没什么关注而wow有很高人气.就好象说mac比windows安全一样,其实是注意力分配的关系.
作者: 8825086    时间: 2010-5-4 23:17

你都看到了吧..证明我所说的那些不是无中生有了吧...
作者: tophjkl    时间: 2010-5-4 23:19

灰鸽子是怎么样的工作,我还真没在网上看到具体的······
已有的介绍感觉是我说的第2种的最外层监控(伪装之后)。
至于说依附的说,我举的WOW例子不过是说有比较高明的伪装而已
作者: lyluislyluis    时间: 2010-5-4 23:33

2个人在说天书很有意思= =
作者: Endless.    时间: 2010-5-5 01:31

提示: 作者被禁止或删除 内容自动屏蔽
作者: 窝你色个好    时间: 2010-5-5 01:52

JJYY一大堆,现在的RO用木马盗号的就3个途径

1,Q群共享文件转播,Q聊传
2,RO非正式的相关网站
3,私 F用了跟GF一样的账号密码

其他地方随便你怎么去弄也不可能被盗



欢迎光临 浆糊论坛-RO小站 (http://bbs.rohome.cn/) Powered by Discuz! 7.2