早听说如今使用OICQ很不安全,在网吧,说不定您刚前脚刚走,后面您心爱的QQ就会号在人非,本人一直是在家里上网。因此对此往往是一笑置之,不很在意,直到朋友找到我,一脸苦笑说他的几个六位号码相继被盗,求我务必帮帮时,才对此产生了一点兴趣,为了了解其盗窃原理,我连续下载了多个现今流行的盗窃监听程式,用自己的机器做平台,对其原理进行了细致的研究剖析,为了让大家对此有所了解,能及早发现并采取相应对策,我对几个有代表作用的盗窃监听程式的原理和特点归纳总结如下。
A、oicqthief 1.5版
监听原理:将原OICQ主文档OICQ.EXE改名为o.exe 用监听程式替代OICQ主文档,1.5版监听程式为60kb
发送的目的邮箱地址放在windows下系统目录中的system目录内,文档名为 oicqcfg。更有一个firstrun.dat的文档也在其中。
启 动:OICQ外壳,不驻留,但运行退出时OICQ有时不能完全退出,导致下次QQ可能无法启动。
外在表现:OICQ目录下出现两个企鹅头像,一个为O.EXE 一个为oicq.exe ,oicq.exe为60K左右。
对 策:删除OICQ目录中的伪主文档,将O.EXE更名为主文档OICQ.EXE,同时删除system中的OICQCFG 和
firstrun.dat
综 述:手法简单,隐蔽性差,很容易判断,属入门级的盗窃程式。
B、QQ密码侦探1.1版
监听原理:将监听程式伪装成windows的启动文档internat.exe,将原system目录内的同名文档拷入windows目录,将本目录文档更名为SMAXINTE.EXE 从而实现启动隐身后台运行。windows目录中的sqwin.ini是其运行<记录文档。注册表中新建3个主键
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/SysTASK
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/SysTASK
HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/SysTASK
发送的邮箱、密码个数等信息放在
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/SysTASK
/Software/Services/Security/Common/SoftWare/ControlsFolder/Reconciliation
/Policies/Retriction/Adspopware/Connection Wizard Explorer/ShellServiceO
bjectDelayLoad/Windows Messaging Subsystem/ProtectedStorage中
启 动:随系统启动,驻留后台运行
外在表现:windows目录下存在internat.exe和sqwin.ini文档,system目录下internat.exe长度为196K,同时出现
smaxinte.exe文档,长度大约37K。
对 策:删除WINDOWS目录中的internat.exe和sqwin.ini文档,因system中的监听程式正在运行,所以无法直接删除,可用下列方式进行删除:
1、用内存管理程式移掉内存中的INTERNAT,然后删除system中的INTERNAT.EXE,将smaxinte.exe改名为
internat.exe
2、将INTERNAT.EXE的系统属性改为普通,退到纯DOS下,再删除system中的INTERNAT.EXE,将 smaxinte.exe改名为internat.exe了解注册表的再删除
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/SysTASK
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/SysTASK
HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/SysTASK 3个相关键
综 述:隐蔽性极强,伪装做的很不错,基本没有明显漏洞,属专业级盗窃程式
C、qqspy4.01 OICQ 密码监听记录工具4.01
监听原理:将主文档QQSPY40.EXE和库文档oicqhook.dll放入系统目录system中,在注册表 Oicqpass "QQSpy40.exe"从而实现开机后后台运行。接受邮箱放在注册表[HKEY_CURRENT_USER/Software/Oicq40] "Email"中
启 动:开机自动驻留后台运行
外在表现:windows目录的system目录下出现QQSPY40.EXE和oicqhook.dll
对 策:删除注册表中的HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
OICQPASS "QQSPY40.EXE"
HKEY_CURRENT_USER/Software/Oicq40
重新启动,然后删除system目录中的QQSPY40.EXE和oicqhook.dll
综 述:虽也采用了后台运行,但本身隐蔽性差,对系统和注册表稍微了解的就能轻易发现,属学习级盗窃程式
D、qeyes 潜伏猎手
监听原理:作者真是费尽心机,其先将主文档qeyes分身改头换面潜伏在系统目录system中,其3个分身分别为:
C:/WINDOWS/SYSTEM/sysreg.exe
C:/WINDOWS/SYSTEM/regservice32.exe
C:/WINDOWS/SYSTEM/rasint.dll
然后在注册表中添加了双保险的开机运行程式
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
regservice "C:/windows/system/regservice32.exe"
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
sysreg "C:/windows/system/sysreg.exe"
最可怕的是当系统正常运行后又会自动在system中增加第四个分身netw3c.exe ,同时在注册表同步添加了一个开机运行项。
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
netw3c "C:/windows/system/netw3c.exe"
假如清除时漏掉一个,那么程式又会自动复制全部分身,并重新添加注册表,使您前功尽弃。
启 动:开机自动驻留后台运行
外在表现:system目录中增加了4个文档:
C:/WINDOWS/SYSTEM/sysreg.exe
C:/WINDOWS/SYSTEM/regservice32.exe
C:/windows/system/netw3c.exe
C:/WINDOWS/SYSTEM/rasint.dll
其中前三个的图标都是一只眼睛,大小都为370K
对 策:重新启动退回纯dos,删除windows中system目录中的sysreg.exe,regservice32.exe,netw3c.exe,
rasint.dll四个文档。然后删除注册表中的
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
regservice "C:/windows/system/regservice32.exe"
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
