| 斩断伸向网络寻呼“QQ”的黑手 |
|
|
| 杨慧超 赛迪网 2001-10-25 |
大家在使用QQ的过程中,可能都碰到过QQ号被盗的事情。有可能是自己的号惨被“强取”,也可能是好友的号屡遭“豪夺”。而现在的一些专业级盗号软件,也让一些并没有多少技术的“菜鸟”轻松当上了黑客。今天我们就来好好研究一下这些可恶的软件,并做好相应的防范。
Oicqthief 1.5版
监听原理:将原OICQ主文件oicq.exe改名为o.exe 用监听程序替代OICQ主文件,1.5版监听程序为60KB。发送的目的邮箱地址放在Windows下系统目录中的System32目录内,文件名为 oicqcfg。还有一个firstrun.dat的文件也在其中。
启动:OICQ外壳不驻留,但运行退出时OICQ有时不能完全退出,导致下次QQ可能无法启动。
外在表现:OICQ目录下出现两个企鹅头像,一个为o.exe 一个为oicq.exe ,oicq.exe为60KB左右。
对策:删除OICQ目录中的伪主文件,将o.exe更名为主文件oicq.exe,同时删除System32中的oicqcfg和firstrun.dat。
评述:手法简单,隐蔽性差,很容易判断,属入门级的盗窃程序。
QQ密码侦探1.1版
监听原理:将监听程序伪装成Windows的启动文件internat.exe,将原System目录内的同名文件拷入 Windows目录,将本目录文件更名为smaxinte.exe ,从而实现启动隐身后台运行。Windows目录中的sqwin.ini是其运行记录文件。
启动:随系统启动,驻留后台运行。
外在表现:Windows目录下存在internat.exe和sqwin.ini文件,System目录下internat.exe长度为196KB,同时出现smaxinte.exe文件,长度大约37KB。
对策:删除Windows目录中的internat.exe和sqwin.ini文件,因System中的监听程序正在运行,所以无法直接删除,可用下列方式进行删除:
1、用内存管理程序移掉内存中的Internat,然后删除system中的internat.exe,将smaxinte.exe改名为internat.exe。
2、将internat.exe的系统属性改为普通,退到纯DOS下,再删除System中的internat.exe,将smaxinte.exe改名为internat.exe。
评述:隐蔽性极强,伪装做得很不错,基本没有明显漏洞,属专业级盗窃程序。
OICQ密码监听记录工具4.01
监听原理:将主文件qqspy40.exe和库文件oicqhook.dll放入系统目录system中,在注册表 HKEY_LOCAL_MACHINESoft-wareMicrosoftWindowsCurrentVersionRun 键内添加开机运行项:Oicqpass "QQSpy40.exe"从而实现开机后后台运行。接受QQ密码的邮箱地址放在注册表[HKEY_CURRENT_USERSoftwareOicq40 ]"Email"中。
启动:开机自动驻留后台运行。
外在表现:Windows目录的System目录下出现qqspy40.exe和oicqhook.dll。
对策:删除注册表中的 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun OICQPASS
"QQSPY40.EXE" HKEY_CURRENT_USERSoftwareOicq40,重新启动,然后删除System目录中的qqspy40.exe和oicqhook.dll即可。
评述:虽然也采用了后台运行,但本身隐蔽性差,属学习级盗窃程序。
Qeyes潜伏猎手
监听原理:作者真是费尽心机,其先将主文件qeyes分身改头换面潜伏在系统目录system中。然后在注册表中添加了双保险的开机运行程序 。最可怕的是当系统正常运行后又会自动在system中增加第四个分身netw3c.exe ,同时在注册表同步添加了一个开机运行项:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun netw3c
"C:windowssystem etw3c.exe"。如果清除时漏掉一个,那么程序又会自动复制全部分身,并重新添加注册表,使你前功尽弃。
启动:开机自动驻留后台运行。
外在表现:System目录中增加了4个文件:sysreg.exe、regservice32.exe、netw3c.exe和rasint.dll,其中前三个的图标都是一只眼睛,大小都为370KB。
对策:重新启动退回纯DOS,删除Windows中System目录中的sysreg.exe、regservice32.exe、netw3c.exe、 rasint.dll这四个文件。然后删除注册表中的:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun regservice "C:windowssystem egservice32.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices sysreg "C:windowssystemsysreg.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun netw3c
"C:windowssystem etw3c.exe"
上面步骤千万不可颠倒!因为软件的自我保护性很强,先删注册表无法彻底根除监听程序,在你启动的同时系统就会自动恢复刚删除项。
评述:它的危害大家都看到了,没什么好说的,这是一款典型的专家级盗窃程序。
总结
从上面例子不难看出,QQ密码盗窃程序无非两类:一类是外壳程序,如OICQTHIEF;另一类是后台程序,如其他几类。外壳程序隐蔽性差(寄生的外壳程序除外),所以很容易被发现。而后台程序一般都隐藏很好,而且开机自动运行,所以不易发现,危害性也较大。
为了便于识别,现对上述几种程序的特征和判断方法做一总结:
通过文件判断
1、进入OICQ目录:出现o.exe为感染oicqthief盗窃程序。
2、进入Windows目录中的System目录,出现smaxinte.exe或internat.exe采用的不是问号图标,表明感染了QQ密码侦探;出现qqspy40.exe为感染qqspy;出现sysreg.exe或regservice32.exe、netw3c.exe,rasint.dll为感染qeyes潜伏猎手。
通过注册表判断
运行regedit,进入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,默认键是“internat”为感染QQ密码侦探;出现OICQPASS键是感染qqspy40.exe;出现regservice或netw3c是感染了qeyes潜伏猎手!
|
|
|
|
|
 |
|
|
|
|
|
|
|
