关于UI中附带木马的解释 (另:请不要运行插件压缩包中的可执行文件,内详)
关于UI中附带木马的解释
请大家不要运行插件压缩包里面含的EXE文件(如果有的话),
或者这么说,不要执行里面的可执行文件
极有可能是木马.
现在基本已经没有带EXE文件的插件了.
遇到插件包里面有EXE文件的,请汇报版主解决
camus
现在盗号猖獗,大家不得不木马提高了警惕,但是过分的猜疑往往会对UI发布者造成极坏的影响,在此我说明下UI中放木马的方法及识别途径。
首先说下UI的工作原理,一个正常合法的UI只可能包含LUA、XML、BLP、TGA等脚本及资源文件,绝对不可能含有EXE、COM、SCR等等可执行文件的,所有的脚本及资源文件全部是在玩家选择人物及载入插件列表后由WOW的脚本解释器编译执行的,这个时候所有的关于用户名及密码的操作都已结束,所以合法的插件是不可能盗号的。
那为什么会有的朋友因为用插件而被盗号呢,那是因为他们执行了捆绑了木马的所谓的插件的自动更新程序。
那些整合插件的自动更新程序都可能会被捆绑上木马(我没有敌视BF、WOWSHELL、17CUBE等整合插件开发人员的意思,可能是由于网站服务器不够安全导致被不法人员攻击进入并修改文件),所以,大家尽量不要下带有EXE的插件,而多下载RAR压缩格式的插件,尽量不要在网上用EXE文件自动更新,多升级病毒防火墙,网络防火墙也要装,因为盗号木马发送帐号的形式一般是通过邮件,而在木马发送帐号时,网络防火墙会对它的网络访问请求请玩家进行确认,此时如果发现,选择禁止就可以避免被盗号。
还有某些马夫在发布所谓“插件”时给出一个显然不正常的网址,其中包含网页木马,这一般是利用IE的漏洞来使浏览器在访问该页时下载木马。防范这种放马方式也比较简单,多升级WINDOWS,及时更新杀毒软件就可以了。
说了这么些,希望能对大家有一定帮助,谢谢观看。
===========
以下摘自lovenot原帖
原贴发在我们公会的论坛:http://ctc.ts1.cn/zero/viewthread.php?tid=156&extra=page%3D1
一、认识插件
QUOTE:
一个正常合法的UI只可能包含LUA、XML、BLP、TGA等脚本及资源文件,绝对不可能含有EXE、COM、SCR等等可执行文件和以及.js、. vbs…脚本的,所有的脚本及资源文件全部是在玩家选择人物及载入插件列表后由WOW的脚本解释器编译执行的,这个时候所有的关于用户名及密码的操作都已结束,所以合法的插件是不可能盗号的。
就目前来讲,WOW系统的这个LUA脚本语言和WOW UI提供的API接口还没有发现漏洞,所以插件是无法盗取你的帐号的。
二、认识木马
木马通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。
木马(也是一种病毒)传播的几种主要方式:
1.可执行文件(.EXE、.COM、SCR)
2.IE脚本(很多恶意网站上都有这些脚本,还有些.js、.vbs文件形式的脚本)
3.OFFICE宏(.doc、.xsl、.ppt…)
4.QQ、MSN Messenger…IM工具的漏洞
5.其它各种系统漏洞(如:曾经JPEG图片有个漏洞可以对系统造成破坏、装了IIS、SQL Server服务的电脑上一些相关的漏洞)
三、防范木马
1.不要相信任何未知的.EXE、.COM、SCR程序。
2.装好杀毒软件
3.及时更新操作系统、IE
4.及时更新杀毒软件病毒库
5.及时更新安全网站上的各种漏洞补丁
这几方面,任何一条没做好都有可能中木马。
另外,WOW的PIN码功能是个很好的防范,能阻止一些记录按键的木马盗取帐号,强烈建议都使用PIN码登录功能。
开通PIN码功能:http://www.wowchina.com/topic/securitycenter/pass.htm
现在的木马和病毒中了之后,有些会锁你的注册表,用服务、硬件驱动等各种方式运行在后台,导致在安全模式下都无法删除。所以中了木马后既然你再更新了杀毒软件,能查出木马来,也不一定能删除掉。
四:下载插件注意点
1.去一些可信的较安全的网站下
2.不要下载任何未知的.EXE、.COM、SCR程序以及.js、.vbs脚本,插件包里只要包含这些,千万不要执行,立即删除。
