图五

　　其中帐号密码我随便填的，事先我已在这台电脑上种植了魔兽世界木马，我们点击登陆以后，再到我们接收帐号密码的邮箱里去看，我们会发现我们的邮箱里多了这样一封邮件:

图六

　　看见了吧，输入的用户名密码都在里面了，是不是很爽。如何防范魔兽世界密码被盗

　　在前面我们已经介绍了如何盗取魔兽世界帐号密码，在同时我们也应该要学会如何保护我们自己的帐号密码。

　　第一，此木马实质上是对键盘的记录，我们可以采用中间插入法输入帐号密码了，例如:原帐号为123j456我们可以这样输入，先输入123456，然后再使用鼠标点击3和4之间的位置，再输入j，这样他就会把帐号记录为123456j了，这样他得到的就是错误帐号了。

　　第二，不要浏览一些与魔兽世界相关的不正规的网站，如果要下载相关资源就到一些官方或正规的大型站点下载，下载以后先使用杀毒软件进行扫描，在确认没有木马的情况下使用资源，一般杀毒软件查出魔兽世界木马的病毒名为Trojan.PSW.WoWar.m。

　　第三，希望官方网站杂提供插件下载的同时公布出插件的大小，用户在下载插件以后查看其属性，确认下载文件是否与官方公布的插件大小是否一致，方可使用，因为在软件在被做了捆绑以后体积都会比以前的文件有所增大。

　　第四，在浏览网页的时候把杀毒软件置为实时监控，并保证杀毒软件为最新病毒库。

　　第五，在网吧上网时输入密码一定要熟练和迅速，防止被人为的偷看密码，并经常修改自己的密码。

　　第六，不要轻易打开陌生人传过来的程序或者网页，无论对方说的是如何好听。

　　第七，每隔一段时间就检查一下自己电脑的启动项，因为一般木马都将在这些地方藏身。让Windows自动启动程序的办法很多，最重要的地方有10个，可归纳为两个文件夹和八个注册键，下面将列出这十个地方:

　　1.当前用户专有的启动文件夹

　　这是许多应用软件自动启动的常用位置，Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在:\Documents and Settings\<用户名字>\“开始”菜单\程序\启动，其中“<用户名字>”是当前登录的用户帐户名称。

　　2.对所有用户有效的启动文件夹

　　这是寻找自动启动程序的第二个重要位置，不管用户用什么身份登录系统，放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所在。该文件夹一般在:\Documents and Settings\All Users\“开始”菜单\程序\启动。

　　3.Load注册键

　　介绍该注册键的资料不多，实际上它也能够自动启动程序。位置:HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load。

　　4.Userinit注册键

　　位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe，但这个键允许指定用逗号分隔的多个程序，例如“userinit.exe,OSA.exe”(不含引号)。

　　5.Explorer\Run注册键

　　和load、Userinit不同，Explorer\Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有，具体位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run。

　　6.RunServicesOnce注册键

　　RunServicesOnce注册键用来启动服务程序，启动时间在用户登录之前，而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce。

　　7.RunServices注册键

　　RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行，但两者都在用户登录之前。RunServices的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices。

　　8.RunOnce\Setup注册键

　　RunOnce\Setup指定了用户登录之后运行的程序，它的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup。

　　9.RunOnce注册键

　　安装程序通常用RunOnce键自动运行程序，它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序，运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP，你还需要检查一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx。

　　10.Run注册键

　　Run是自动运行程序最常用的注册键，位置在:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行，但两者都在处理“启动”文件夹之前。

　　以上就是10大系统自启动程序的地方了，目前魔兽世界木马出现最多的进程就是smss.exe了，大家可以去上面介绍的地方去查看键值是否已经被修改成了smss.exe。在查看注册表自启动项时注意看他木马程序的路径，在删除启动项键值后再按键值中的路径找到木马程序并删除木马程序本身(注意在删除木马程序前应该先打开任务管理器结束掉木马的进程)。

　　到这里整个魔兽世界盗号及防范就讲完了，希望大家能灵活运用，研究出自己的一套攻防方案出来。

　　声明：本文只为大家了解相关知识所用，任何人不得利用本文做非法的活动，否则后果自负。http://www.hack58.net/Article/60/61/2006/6323.htm