QQ木馬概述
利用QQ的特點(diǎn)和漏洞進(jìn)行傳播的一種木馬�,也不全是沖你的QQ密碼來(lái)的�,但這一類偷密碼的木馬確實(shí)較多。QQ木馬除了能竊取你的密碼�����,還會(huì)自動(dòng)向你QQ好友發(fā)布信息��,如病毒網(wǎng)站等��。
QQ木馬盜號(hào)的原理
盜取途徑1:暴力破解(就是窮舉法)
已有很多文章談過(guò),本文就不談了��。對(duì)付這種方法的途徑很簡(jiǎn)單:使用比較復(fù)雜的口令�。
盜取途徑2:本機(jī)安裝木馬竊聽(tīng)用戶口令
對(duì)于這類木馬軟體�����,除了清除�����,還有一個(gè)辦法——從原理上防止這些木馬得到QQ的登錄密碼��。
這些木馬大多借助于密碼查看器探知密碼��,首先要知道它是從哪個(gè)應(yīng)用程式偷���。判斷方法如下:
判斷方法1:從運(yùn)行程式的檔案名判斷����,比如程式QQ2000b是QQ程式�����。
應(yīng)對(duì)策略
這種木馬比較笨,對(duì)付它很容易���,只要將QQ的可執(zhí)行檔案換個(gè)名字���,它們就會(huì)變成瞎子。
判斷方法2:查看當(dāng)前運(yùn)行的應(yīng)用程式的標(biāo)題是否是特征文字�,如“QQ用戶登錄”。這類木馬的例子如OICQ密碼監(jiān)聽(tīng)記錄工具4.01����。
應(yīng)對(duì)策略
修改QQ的登錄窗口的標(biāo)題欄,這樣木馬就不能識(shí)別你正在登錄QQ了�。
判斷方法3:根據(jù)密碼域判斷。
有些軟體的胃口很大�,它不只想竊聽(tīng)你的QQ口令,它還關(guān)心其他的一些口令�����,將獲取的賬戶和口令分門別類���,供自己分析���。這類軟體的危害極大�,但是當(dāng)前的介紹中����,除了殺木馬之外,好像沒(méi)有較好的解決辦法���。
鍵盤記錄
該木馬會(huì)通過(guò)鍵盤自動(dòng)記錄用戶的密碼,并發(fā)送到指定的電子郵箱的路徑。
判斷方法:QQ登陸后不久異常下線���,或自動(dòng)關(guān)閉請(qǐng)求再次輸入密碼��。
應(yīng)對(duì)策略:打開密碼輸入框左側(cè)的軟鍵盤輸入登陸密碼�����。
QQ木馬病毒清除
QQ病毒專殺工具XPQQKav http://www.jsing.net/soft/qqkav.exe
你也可以上這個(gè)網(wǎng)頁(yè)下載金山和瑞星的專殺工具 http://im.qq.com/qq/mo.shtml?/qq/2003-2/bd.htm
QQ木馬說(shuō)到底就是可以竊取你機(jī)密的程序�����,它是捆綁的一種文件~可以竊取你QQ密碼和聊天記錄.平時(shí)不要隨意接收 QQ上傳來(lái)的文件和QQ上其他人打開的網(wǎng)址.尤其是對(duì)方在網(wǎng)吧上網(wǎng)時(shí)���,會(huì)自動(dòng)傳來(lái)個(gè)文件或網(wǎng)站,千萬(wàn)不要打開�,除非對(duì)方是你熟悉的朋友先問(wèn)一下是否是他發(fā)給你的.如果中了毒就用卡巴斯基 殺進(jìn)安全模式殺��。在QQ硬盤里有QQ病毒專殺工具�����,下載后殺毒就行�。
QQ木馬終極應(yīng)對(duì)策略
通過(guò)eXeScope�,可以對(duì)QQ進(jìn)行徹底地改造,這樣�,就可以防止任何本地的木馬:因?yàn)樗鼈兏静豢赡苤滥阍谶\(yùn)行QQ,也不知道你在輸入密碼���,從而就不可能竊取到你的QQ密碼���。
找到QQ可執(zhí)行檔案的位置,將QQ目錄拷貝到其他位置���,并將其中QQ可執(zhí)行檔案換名���,如改為“副件qq2000b.exe”。這樣做的目的是為了防止木馬使用第一種判斷方法����。
使用ExeScope打開QQ的可執(zhí)行檔案���,找到要修改的項(xiàng)。
位置在[資源]→[對(duì)話框]→[對(duì)話框450]����,修改QQ登錄的標(biāo)題欄。修改密碼域的屬性���。
這樣做會(huì)導(dǎo)致密碼以明文形式出現(xiàn)在輸入框��,可能會(huì)被別人偷看��,不過(guò)為了防止木馬偷看,你只能這樣了���。保存設(shè)置?��,F(xiàn)在運(yùn)行“復(fù)件 qq2000b.exe”看看吧。如果大家都采用這樣的防護(hù)措施�,離QQ木馬的消失的日子就不遠(yuǎn)了。
【專殺工具】:在百度里搜多“QQ木馬病毒專殺”
QQ木馬病毒案例 通過(guò)eXeScope�����,可以對(duì)QQ進(jìn)行徹底地改造,這樣����,就可以防止任何本地的木馬:因?yàn)樗鼈兏静豢赡苤滥阍谶\(yùn)行QQ,也不知道你在輸入密碼���,從而就不可能竊取到你的QQ密碼�。
找到QQ可執(zhí)行檔案的位置���,將QQ目錄拷貝到其他位置����,并將其中QQ可執(zhí)行檔案換名��,如改為“副件qq2000b.exe”����。這樣做的目的是為了防止木馬使用第一種判斷方法。
使用ExeScope打開QQ的可執(zhí)行檔案�,找到要修改的項(xiàng)。
位置在[資源]→[對(duì)話框]→[對(duì)話框450]��,修改QQ登錄的標(biāo)題欄����。修改密碼域的屬性���。
這樣做會(huì)導(dǎo)致密碼以明文形式出現(xiàn)在輸入框,可能會(huì)被別人偷看��,不過(guò)為了防止木馬偷看��,你只能這樣了�。保存設(shè)置。現(xiàn)在運(yùn)行“復(fù)件 qq2000b.exe”看看吧��。如果大家都采用這樣的防護(hù)措施�����,離QQ木馬的消失的日子就不遠(yuǎn)了��。
【專殺工具】:在百度里搜多“QQ木馬病毒專殺”Win32.PSWTroj.QQPass.dh.88576
病毒名稱(中文):QQ盜號(hào)木馬88576病毒別名:威脅級(jí)別:★☆☆☆☆病毒類型:偷密碼的木馬病毒長(zhǎng)度:88576影響系統(tǒng):Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為:
該病毒是針對(duì)QQ即時(shí)聊天工具的盜號(hào)木馬����。病毒運(yùn)行后會(huì)修改注冊(cè)表增加啟動(dòng)項(xiàng)�����,破壞QQ醫(yī)生的運(yùn)行。然后通過(guò)內(nèi)存讀取的方式盜取用戶的QQ號(hào)和密碼�����,并把密碼發(fā)送到木馬種植者的手上��。
1.生成文件:
%sys32dir%\qqmm.vxd
2.生成CLSID組件
HKEY_CLASSES_ROOT\CLSID\
HKEY_CLASSES_ROOT\CLSID\ @ ""
HKEY_CLASSES_ROOT\CLSID\\InProcServer32
HKEY_CLASSES_ROOT\CLSID\\InProcServer32 @ "C:\WINDOWS\system32\qqmm.vxd"
HKEY_CLASSES_ROOT\CLSID\\InProcServer32 ThreadingModel "Apartment"
3.修改注冊(cè)表,增加啟動(dòng)項(xiàng)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
4.病毒運(yùn)行后會(huì)刪除病毒源文件自身.
5.病毒運(yùn)行后會(huì)把vxd文件注入到進(jìn)程當(dāng)中.
6.病毒運(yùn)行后會(huì)刪除QQ醫(yī)生的執(zhí)行文件QQDoctor\QQDoctor.exe
7.病毒運(yùn)行后會(huì)登錄http://f***h.ch****en.com/ip/ip.php網(wǎng)站來(lái)獲得客戶機(jī)器的IP地址.
8.病毒運(yùn)行后會(huì)通過(guò)讀取內(nèi)存的方式截獲客戶QQ的賬號(hào),密碼等相關(guān)資料.然后把獲得的QQ的相關(guān)資料發(fā)送木馬種植者的郵箱.
病毒名稱(中文):QQ偽裝盜號(hào)者163840病毒別名:威脅級(jí)別:★☆☆☆☆病毒類型:偷密碼的木馬病毒長(zhǎng)度:163840影響系統(tǒng):Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為:
該病毒是針對(duì)QQ即時(shí)聊天工具的盜號(hào)木馬���。病毒運(yùn)行后會(huì)釋放偽裝成系統(tǒng)桌面進(jìn)程的病毒文件�,修改注冊(cè)表增加啟動(dòng)項(xiàng)���,然后通過(guò)內(nèi)存讀取的方式盜取密碼�����,并把密碼發(fā)送到木馬種植者的手上�����。
1.生成文件
%sys32dir%\explorer.exe
%sys32dir%\systemlr.dll
2.生成注冊(cè)表啟動(dòng)項(xiàng)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run explorer.exe "C:\WINDOWS\system32\explorer.exe"
3.病毒運(yùn)行后會(huì)生成一個(gè)病毒文件名的常駐進(jìn)程.
4.病毒還會(huì)把Dll文件注入到explorer.exe和其他的非系統(tǒng)進(jìn)程當(dāng)中.
5.病毒會(huì)把盜取的密碼發(fā)送到木馬種植者的郵箱中.
通過(guò)聊天工具傳播
|