ITnews 版 (精华区)

发信人: zhengyanlei ( 北伐战士), 信区: ITnews
标  题: 阻止伸向QQ的黑手
发信站: 哈工大紫丁香 (2001年10月25日11:38:42 星期四), 站内信件

大家在使用QQ的过程中，可能都碰到过QQ号被盗的事情。有可能是自己的号惨被“强取
”，也可能是好友的号屡遭“豪夺”。而现在的一些专业级盗号软件，也让一些并没有
多少技术的“菜鸟”轻松当上了黑客。今天我们就来好好研究一下这些可恶的软件，并
做好相应的防范。
Oicqthief 1.5版
监听原理：将原OICQ主文件oicq.exe改名为o.exe 用监听程序替代OICQ主文件，1.5版监
听程序为60KB。发送的目的邮箱地址放在Windows下系统目录中的System32目录内，文件
名为 oicqcfg。还有一个firstrun.dat的文件也在其中。
启动：OICQ外壳不驻留，但运行退出时OICQ有时不能完全退出，导致下次QQ可能无法启
动。
外在表现：OICQ目录下出现两个企鹅头像，一个为o.exe 一个为oicq.exe ，oicq.exe为
60KB左右。
对策：删除OICQ目录中的伪主文件，将o.exe更名为主文件oicq.exe，同时删除System3
2中的oicqcfg和firstrun.dat。
评述：手法简单，隐蔽性差，很容易判断，属入门级的盗窃程序。
QQ密码侦探1.1版
监听原理：将监听程序伪装成Windows的启动文件internat.exe，将原System目录内的同
名文件拷入 Windows目录，将本目录文件更名为smaxinte.exe ，从而实现启动隐身后台
运行。Windows目录中的sqwin.ini是其运行记录文件。
启动：随系统启动，驻留后台运行。
外在表现：Windows目录下存在internat.exe和sqwin.ini文件，System目录下internat
.exe长度为196KB，同时出现smaxinte.exe文件，长度大约37KB。
对策：删除Windows目录中的internat.exe和sqwin.ini文件，因System中的监听程序正
在运行，所以无法直接删除，可用下列方式进行删除：
1、用内存管理程序移掉内存中的Internat，然后删除system中的internat.exe，将sma
xinte.exe改名为internat.exe。
2、将internat.exe的系统属性改为普通，退到纯DOS下，再删除System中的internat.e
xe，将smaxinte.exe改名为internat.exe。
评述：隐蔽性极强，伪装做得很不错，基本没有明显漏洞，属专业级盗窃程序。
OICQ密码监听记录工具4.01
监听原理：将主文件qqspy40.exe和库文件oicqhook.dll放入系统目录system中，在注册
表 HKEY_LOCAL_MACHINE\Soft-ware\Microsoft\Windows\CurrentVersion\Run 键内添加
开机运行项：Oicqpass "QQSpy40.exe"从而实现开机后后台运行。接受QQ密码的邮箱地
址放在注册表[HKEY_CURRENT_USER\Software\Oicq40 ]"Email"中。
启动：开机自动驻留后台运行。
外在表现：Windows目录的System目录下出现qqspy40.exe和oicqhook.dll。
对策：删除注册表中的 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVe
rsion\Run OICQPASS
"QQSPY40.EXE" HKEY_CURRENT_USER\Software\Oicq40，重新启动，然后删除System目录
中的qqspy40.exe和oicqhook.dll即可。
评述：虽然也采用了后台运行，但本身隐蔽性差，属学习级盗窃程序。
Qeyes潜伏猎手
监听原理：作者真是费尽心机，其先将主文件qeyes分身改头换面潜伏在系统目录syste
m中。然后在注册表中添加了双保险的开机运行程序 。最可怕的是当系统正常运行后又
会自动在system中增加第四个分身netw3c.exe ，同时在注册表同步添加了一个开机运行
项：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run netw3c
"C:\windows\system\netw3c.exe"。如果清除时漏掉一个，那么程序又会自动复制全部
分身，并重新添加注册表，使你前功尽弃。
启动：开机自动驻留后台运行。
外在表现：System目录中增加了4个文件：sysreg.exe、regservice32.exe、netw3c.ex
e和rasint.dll，其中前三个的图标都是一只眼睛，大小都为370KB。
对策：重新启动退回纯DOS，删除Windows中System目录中的sysreg.exe、regservice32
.exe、netw3c.exe、 rasint.dll这四个文件。然后删除注册表中的：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run regservice 
"C:\windows\system\regservice32.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices sys
reg "C:\windows\system\sysreg.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run netw3c
"C:\windows\system\netw3c.exe"
上面步骤千万不可颠倒！因为软件的自我保护性很强，先删注册表无法彻底根除监听程
序，在你启动的同时系统就会自动恢复刚删除项。
评述：它的危害大家都看到了，没什么好说的，这是一款典型的专家级盗窃程序。
总结
从上面例子不难看出，QQ密码盗窃程序无非两类：一类是外壳程序，如OICQTHIEF；另一
类是后台程序，如其他几类。外壳程序隐蔽性差（寄生的外壳程序除外），所以很容易
被发现。而后台程序一般都隐藏很好，而且开机自动运行，所以不易发现，危害性也较
大。
为了便于识别，现对上述几种程序的特征和判断方法做一总结：
通过文件判断
1、进入OICQ目录：出现o.exe为感染oicqthief盗窃程序。
2、进入Windows目录中的System目录，出现smaxinte.exe或internat.exe采用的不是问
号图标，表明感染了QQ密码侦探；出现qqspy40.exe为感染qqspy；出现sysreg.exe或re
gservice32.exe、netw3c.exe，rasint.dll为感染qeyes潜伏猎手。
通过注册表判断
运行regedit，进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio
n\Run，默认键是“internat”为感染QQ密码侦探；出现OICQPASS键是感染qqspy40.exe
；出现regservice或netw3c是感染了qeyes潜伏猎手！

--
    
           ★我可以锁住我的笔          为什么★
           ★却锁不住爱和忧伤                ★
           
           ★在长长的一生里            为什么★
           ★欢乐总是咋现就凋落   走得最急的都是最美的时光

※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.99.28.142]