事实终于浮出水面,民间相继暴出国内两大整合插件大脚(bigfoot)和月光宝盒(17cube)提供站点都出现过网站服务器被入侵,插件官方网站下载地址被改成带有木马的地址连接。一旦下载或更新插件就会被感染木马。
前日,大脚(bigfoot)合作站点NGACN已经发布公告承认大脚被种入木马的事实,但大脚(bigfoot)官方站http://www.wowinside.net对此事只字未提,而月光宝盒(17cube)至今为止没有对此事做出任何说明和道歉。让人不得对这两大插件提供商感到遗憾,一方面不遗余力的推广自己的插件获取用户。一方面却不能保障插件的安全性。甚至在出现如此严重的盗号事件后也仅仅是一笔带过。完全没意识到事件的严重性。
这些插件提供商都声称只要在插件官方站点下载就肯定没有问题,然而面对服务器被黑,官方站点都被修改的事实,玩家不禁要:“整合插件到底安全吗?”
据悉,国内三大整合插件大脚和月光宝盒以及这次幸免于难的魔兽精灵(WoWshell)使用用户加起来超过150万用户,一旦客户端被种入木马,后果不堪设想。此次事件也暴露出国内整合插件提供商安全性完全没有保障的事实。Bigfoot,17cube,WoWshell等整合插件提供商都属于个人网站,其存放插件下载的服务器都属于租用的服务器,安全防范意识相对较差。一旦被黑,使用这些整合插件的用户更新插件就可能被种上木马,造成大规模的帐号被盗。
根据近期各大网站,论坛反映的情况来看。最近被大规模盗号的情况还在不断扩大,这里提醒所有使用整合插件的用户检查你的机器是否已经感染木马。并即使清理。
也提醒整合提供整合插件下载的各大网站注意自身服务器安全防范和责任心。让大家用得安全放心。
以下是一些相关资料,仅供参考:
来自NGACN的一则新闻:
最近,针对WoW帐号而开发的木马越来越猖獗,最近网络上相继出现了一些被植入木马的插件客户端,前段时间BigFoot的开发网站WoWInside.net的首页也被修改,客户端下载链接被改为了带有木马的非法客户端。瑞星的病毒库中也已经有了这种名为Trojan.PSW.WoWar.m的木马的信息。 如果您是BigFoot的使用者,请注意,BigFoot的客户端(BigFoot.exe)的唯一官方下载地址为Update.wowinside.net/Client/BigFoot.exe,除此以外的一切客户端程序均有可能不是安全的版本。 正常的BigFoot.exe文件的大小应该是696KB,而已知的一种感染了木马的非法客户端的大小是1.08MB。如果您发现自己的BigFoot客户端大小不正常,请立刻对电脑进行杀毒,并及时做好修改游戏登录密码和电子信箱密码的工作。
“此地有银三百两”
种木马是终究会被发现的犯法行为,再狡猾的老鼠也终究会有落网的一天,在此我们相信大脚的开发商们不是在监守自盗,也希望他们将此事件报警,以尽快找到木马的根源,将种马者一网打尽。
月光宝盒同样也被玩家们反映了附带木马:
玩家 只如初见:
月光 宝盒[17CUBE]主页上下载的插件存在木马
查系统进程,多了一个smss.exe,是在C:winsows下的,而它正常的正确的位置应该是c:windowssystem32,而用msconfig.exe查看,发现自动开机运行的程序中多了两个C:winsowssmss.exe的启动项.
这个木马网上有很多删除方法,可以从安全模式启动,然后删C:windowssmss.exe,再将注册表中所有关于smss.exe的选项全部删除一般就可以了。
从两个月前开始我就用月光,一直用两个月前的旧月光的17cube.exe进行在线更新,所以没中木马,到最近有人说月光有木马还不信,现在确实是真的.
要继续用月光,请去别的地方下载个超旧的,本人下载了个5月14日的月光来用(用旧版本在线更新的新17cube.exe没木马).月光主页上的Interface.zip也没木马.
旧版本在线更新不中木马,从网页上下载却中木马,看来木马是在网页上的,而17cube.exe本身并不带木马,只是下载过程被感染了.
=====================
smss.exe:Session Manager Subsystem,该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(挂起)。要注意:如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"%WINDIR%SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,这是一种Windows下的PE病毒,它采用VB6编写 ,是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI,并在[WINDOWS]项中加入"RUN" = "%WINDIR%SMSS.EXE"。手工清除时请先结束病毒进程smss.exe,再删除%WINDIR%下的smss.exe文件,然后清除它在注册表和WIN.INI文件中的相关项即可。
网友评论