为什么要盗号？

曾被盗号的玩家请进昨晚，本人也被

水晶兄弟也被盗了？同情ING 还好我在问道推出1。36版本不久就离开问道了，但是前天听我朋友说我给他的那个80＋敏水号被盗了，首饰武器和BB洗劫一空，心里还是很难受，那个号毕竟我也玩了好长时间，还好以前物华天宝的那个高金号没有被盗，我朋友已经把他玩到快100了。 我是学计算机的，虽然我们实验室主攻方向是软件工程，但是也有师兄在作网络安全这块，对于这块我耳濡目染也略知一二，宠物种木马个人认为不是很可行，因为交易只是你的主机和服务器以及对方主机和服务器交换了一些数据，你与对方主机没有任何数据交流，他不可能这样植入木马。 绝大多数信息都是放在服务器上，你本地的游戏客户端只是对服务器传来的数...全部

  水晶兄弟也被盗了？同情ING 还好我在问道推出1。36版本不久就离开问道了，但是前天听我朋友说我给他的那个80＋敏水号被盗了，首饰武器和BB洗劫一空，心里还是很难受，那个号毕竟我也玩了好长时间，还好以前物华天宝的那个高金号没有被盗，我朋友已经把他玩到快100了。
   我是学计算机的，虽然我们实验室主攻方向是软件工程，但是也有师兄在作网络安全这块，对于这块我耳濡目染也略知一二，宠物种木马个人认为不是很可行，因为交易只是你的主机和服务器以及对方主机和服务器交换了一些数据，你与对方主机没有任何数据交流，他不可能这样植入木马。
  绝大多数信息都是放在服务器上，你本地的游戏客户端只是对服务器传来的数据作一个解释，解释为动作形态等等（这点和IE浏览器很相似），你自始至终都在和服务器直接打交道而与其它任何第三方无关，对于交易BB后被盗，纯属偶然。
   但是端口扫描和信息截获则是一个很可行的攻击手段，用户登陆游戏时都要输入ID密码并通过某特定端口打包加密发往服务器进行验证，盗号者使用专门的黑客软件扫描和监听问道客户端传输和验证密码的端口，截获该端口的报文，然后进行破译，就可以破解得到ID和密码，这是一项十分可行的技术，只要问道加密传输用户ID和密码报文的加密算法被破，大量玩家被盗就不奇怪了。
  我曾问过我那个朋友，他也是学计算机的，是我的一个学弟，问他当时有什么异常，他说防火墙的确曾提示所开端口被嗅探和扫描。他那次上机没有与别人交易什么东西。所以，我推断真正的原因可能是这种黑客软件被广泛传播而且问道的报文加密算法被破解，如果是这样，可能比物品植入木马更加恐怖，因为不管怎样，只要你联入INTERNET，启动问道进入游戏你的账号就有可能被盗，因为你也不知道谁在盯着你呢。
   相对而言，使用校园网，公司内网间接访问INTERNET的因为多一层防火墙，可能会稍微安全电点，不过也不敢保证绝对的安全，只是略好一点。 以上纯属个人分析和推断，并没有进行实验验证，也没有任何证据，以上分析也不针对任何人或单位组织，谢绝引用！四大名捕 ………………………………………………………………………… 补充： 昨晚我拿以前的一个69级力水小号上问道看了下，就是为了看看盗号的。
  1线钱庄有个卖BB的引起了我的注意，44级火，他师傅的名字和他的很像，所以我觉得这个是个小号，在喊卖白猿BB带血池38级卖7W，我觉得这个是个诱饵，一个血池就得六七十万吧，何况一个小号都40多了的谁会在乎卖70000文钱啊，能做什么呢。
  于是看了下BB，79血80攻，没有错点，因为有了水晶点前车之鉴，我越来越觉得这是个骗局，但我就是为这个来的，交易了。血池几乎是满的，于是我赶紧开了另外一个小号，将刚才这个号上的武器首饰等值钱东西都转到另外号上，只留了个60手做诱饵，然後下了，等着这个号被盗，一个晚上我几上几下好几回，奇怪的是一直没有人来盗，今早开一次，还是没有被盗。
  系统会提示上次登陆的主机IP，一直是我自己的，看来我的行动失败了，只是我一直纳闷，那个火为什么要7W卖掉那个BB呢？虽然是垃圾BB练小号的人拿着还是不错的，可是卖出7W对他能有啥用处？或许只是个巧合。
  。。。。。 ———————————————————————————— 5。25晚上补充： 看了下水晶的重新提问，我还是觉得是这两种可能： 1。已经有了成型的工具，操作简单而且已经传播开来。我上面说的那种扫描端口截获报文并进行破解的方法不是不可行，而是要具体实施要掌握相当的网络安全知识，就连我们实验室学网络安全专业的研究生用当前互联网上流行的经典的黑客工具都作不到，可以监听可以截获但是破解不了，只是一堆乱码。
  最近这么多人被疯狂盗取密码，我怀疑是已经出了一种傻瓜式的盗号工具，可以自动监听自动截获自动破译，那样小学生认识字就会用就会盗，根本不用掌握多少网络安全方面的知识，这个有可能，而且这种工具可能会私下交易传播开来，编写这种工具的人我觉得是相当的厉害，也不排除是光宇有内鬼在变相地赚外快，否则现在的加密算法哪里有那么好破的？推测而已。
   2。新的盗号木马出现了，会通过任何你不经意的操作就存在于你的计算机中，植入木马的目的是盗号，但是它的植入没有针对性，有可能一台办公专用（从来不会开问道）的计算机也会被植入，它就一直隐藏在那里，防毒软件或许也并不认识它，它不会对系统构成任何危害，所以平时你根本不会察觉到它的存在，它的目标就是监控问道，只要进程里有"asktao。
  exe"启动它就开始工作，把ID和密码自动发送到指定邮箱，平时这台机器看上去没有任何问题，但是只要这台机器开问道就会丢号，这样频繁盗号的发生就是因为这样的木马被传播开来并植入了大量的主机中。你或许说你没有点击任何链接收取任何未知文件，但是你能保证在你之前使用的那个人没有吗？如果是这样，只要专杀工具不出来，盗号者就只会越来越猖狂。
   这两种方式，我觉得第二种的可能性要更大，因为2更加可行，不涉及破译密码那样的高难度的活儿，当然也不排除1。 如果是1的话我还没有想到更好的解决方案，唯一的提醒就是打开防火墙。如果是2的话，解决方案是在丢过号的机器上不要再开问道了，你改一万遍密码都没用，现在专杀工具没有出（甚至木马嫌疑程序都没有找到），可以尝试重装系统T除木马，代价不小啊，而且也存在再次中标的可能，治标不治本，但是也没有别的更好的办法了。
  楼下提到了一个文件"nwizasktao。exe"，很有嫌疑，建议大家到系统目录C:\WINDOWS\SYSTEM32下找找看，我会重点关注它的。 ………………………………………………………………………… 5。
  26最新修改： 据查，上面提到的"nwizasktao。exe"的确是一款游戏盗号密码，而且不是什么新的东西，专杀工具也已经有了，如果真是它造成的丢号，请大家特别留意，以下为详细内容： nwizASKtao是什么程序？ Trojan。
  PSW。OnLineGames 那是游戏盗号木马！不盗QQ的。akf是病毒的变种名。 属于Trojan-PSW。Win32系列木马，请下载这个 专杀工具，能杀Trojan-PSW。Win32全系列木马。
   地址： 如果发现暂时下载不了的话请看这里的手工清除方法： 参考资料：bear830810's brain www。p c 3 4 其实病毒都是利用浏览器的漏洞进行传播，大家在上网的时候最好用Firefox浏览器浏览网页 ，这种浏览器最大的好处就是安全！ 大家可以进行查证： 大家开问道前先确认自己的机器是否被植入了该木马！另外是否还存在另外的木马引起了此次盗号风暴，名捕还在继续查证！ ———————————————————————————— 5-27最终补充： 可能会令大家失望，我的查找工作没有太大进展。
  算是一个总结发言吧。上面提到的nwizAsktao。dll和nwizasktao。exe都属于艾妮木马变种，据介绍该木马可以说是木马的木马，它的存在可能导致你的机器中各种各样的木马，因为它会主动到各种特定网站下载各种木马，可能真的是它造成了大量游戏账号被盗（不光是问道的），这个大家留意系统目录C:\WINDOWS\SYSTEM32下是否有这两个文件或是文件名相似的文件，大家都要提高警惕。
  关于这个木马的详细内容，某人的博客里转载的一篇文章讲得比较全面比较专业，鉴于篇幅，不复制文本过来了，有兴趣的可以去了解下原理及如何防治和杀除（需要有一定计算机知识才能看懂）： 另外我强烈主张一个账号独自专有，不要和其它任何人共享账号密码，这个世界上也只有你一个人知道账号密码那最好。
  而如果问题真是出在光宇内部，这也是我门没有办法的。 。收起