QQ木馬概述
利用QQ的特點和漏洞進(jìn)行傳播的一種木馬��,也不全是沖你的QQ密碼來的����,但這一類偷密碼的木馬確實較多�。QQ木馬除了能竊取你的密碼���,還會自動向你QQ好友發(fā)布信息�,如病毒網(wǎng)站等。
QQ木馬盜號的原理
盜取途徑1:暴力破解(就是窮舉法)
已有很多文章談過����,本文就不談了。對付這種方法的途徑很簡單:使用比較復(fù)雜的口令�����。
盜取途徑2:本機(jī)安裝木馬竊聽用戶口令
對于這類木馬軟體����,除了清除,還有一個辦法——從原理上防止這些木馬得到QQ的登錄密碼�。
這些木馬大多借助于密碼查看器探知密碼,首先要知道它是從哪個應(yīng)用程式偷�����。判斷方法如下:
判斷方法1:從運行程式的檔案名判斷�����,比如程式QQ2000b是QQ程式���。
應(yīng)對策略
這種木馬比較笨�����,對付它很容易�����,只要將QQ的可執(zhí)行檔案換個名字���,它們就會變成瞎子�。
判斷方法2:查看當(dāng)前運行的應(yīng)用程式的標(biāo)題是否是特征文字��,如“QQ用戶登錄”����。這類木馬的例子如OICQ密碼監(jiān)聽記錄工具4.01����。
應(yīng)對策略
修改QQ的登錄窗口的標(biāo)題欄,這樣木馬就不能識別你正在登錄QQ了�����。
判斷方法3:根據(jù)密碼域判斷�。
有些軟體的胃口很大�����,它不只想竊聽你的QQ口令���,它還關(guān)心其他的一些口令,將獲取的賬戶和口令分門別類��,供自己分析���。這類軟體的危害極大���,但是當(dāng)前的介紹中,除了殺木馬之外���,好像沒有較好的解決辦法����。
鍵盤記錄
該木馬會通過鍵盤自動記錄用戶的密碼,并發(fā)送到指定的電子郵箱的路徑�����。
判斷方法:QQ登陸后不久異常下線,或自動關(guān)閉請求再次輸入密碼�����。
應(yīng)對策略:打開密碼輸入框左側(cè)的軟鍵盤輸入登陸密碼�。
QQ木馬病毒清除
QQ病毒專殺工具XPQQKav http://www.jsing.net/soft/qqkav.exe
你也可以上這個網(wǎng)頁下載金山和瑞星的專殺工具 http://im.qq.com/qq/mo.shtml?/qq/2003-2/bd.htm
QQ木馬說到底就是可以竊取你機(jī)密的程序,它是捆綁的一種文件~可以竊取你QQ密碼和聊天記錄.平時不要隨意接收 QQ上傳來的文件和QQ上其他人打開的網(wǎng)址.尤其是對方在網(wǎng)吧上網(wǎng)時����,會自動傳來個文件或網(wǎng)站,千萬不要打開�����,除非對方是你熟悉的朋友先問一下是否是他發(fā)給你的.如果中了毒就用卡巴斯基 殺進(jìn)安全模式殺���。在QQ硬盤里有QQ病毒專殺工具���,下載后殺毒就行�����。
QQ木馬終極應(yīng)對策略
通過eXeScope�,可以對QQ進(jìn)行徹底地改造,這樣��,就可以防止任何本地的木馬:因為它們根本不可能知道你在運行QQ,也不知道你在輸入密碼����,從而就不可能竊取到你的QQ密碼。
找到QQ可執(zhí)行檔案的位置���,將QQ目錄拷貝到其他位置���,并將其中QQ可執(zhí)行檔案換名,如改為“副件qq2000b.exe”�����。這樣做的目的是為了防止木馬使用第一種判斷方法���。
使用ExeScope打開QQ的可執(zhí)行檔案�����,找到要修改的項���。
位置在[資源]→[對話框]→[對話框450],修改QQ登錄的標(biāo)題欄。修改密碼域的屬性�����。
這樣做會導(dǎo)致密碼以明文形式出現(xiàn)在輸入框�����,可能會被別人偷看�����,不過為了防止木馬偷看�����,你只能這樣了����。保存設(shè)置。現(xiàn)在運行“復(fù)件 qq2000b.exe”看看吧���。如果大家都采用這樣的防護(hù)措施�����,離QQ木馬的消失的日子就不遠(yuǎn)了����。
【專殺工具】:在百度里搜多“QQ木馬病毒專殺”
QQ木馬病毒案例 通過eXeScope�����,可以對QQ進(jìn)行徹底地改造���,這樣��,就可以防止任何本地的木馬:因為它們根本不可能知道你在運行QQ��,也不知道你在輸入密碼�,從而就不可能竊取到你的QQ密碼��。
找到QQ可執(zhí)行檔案的位置�,將QQ目錄拷貝到其他位置,并將其中QQ可執(zhí)行檔案換名�,如改為“副件qq2000b.exe”。這樣做的目的是為了防止木馬使用第一種判斷方法�。
使用ExeScope打開QQ的可執(zhí)行檔案,找到要修改的項�。
位置在[資源]→[對話框]→[對話框450]�����,修改QQ登錄的標(biāo)題欄��。修改密碼域的屬性��。
這樣做會導(dǎo)致密碼以明文形式出現(xiàn)在輸入框����,可能會被別人偷看����,不過為了防止木馬偷看,你只能這樣了����。保存設(shè)置。現(xiàn)在運行“復(fù)件 qq2000b.exe”看看吧����。如果大家都采用這樣的防護(hù)措施,離QQ木馬的消失的日子就不遠(yuǎn)了�����。
【專殺工具】:在百度里搜多“QQ木馬病毒專殺”Win32.PSWTroj.QQPass.dh.88576
病毒名稱(中文):QQ盜號木馬88576病毒別名:威脅級別:★☆☆☆☆病毒類型:偷密碼的木馬病毒長度:88576影響系統(tǒng):Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為:
該病毒是針對QQ即時聊天工具的盜號木馬。病毒運行后會修改注冊表增加啟動項���,破壞QQ醫(yī)生的運行。然后通過內(nèi)存讀取的方式盜取用戶的QQ號和密碼�,并把密碼發(fā)送到木馬種植者的手上。
1.生成文件:
%sys32dir%\qqmm.vxd
2.生成CLSID組件
HKEY_CLASSES_ROOT\CLSID\
HKEY_CLASSES_ROOT\CLSID\ @ ""
HKEY_CLASSES_ROOT\CLSID\\InProcServer32
HKEY_CLASSES_ROOT\CLSID\\InProcServer32 @ "C:\WINDOWS\system32\qqmm.vxd"
HKEY_CLASSES_ROOT\CLSID\\InProcServer32 ThreadingModel "Apartment"
3.修改注冊表,增加啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
4.病毒運行后會刪除病毒源文件自身.
5.病毒運行后會把vxd文件注入到進(jìn)程當(dāng)中.
6.病毒運行后會刪除QQ醫(yī)生的執(zhí)行文件QQDoctor\QQDoctor.exe
7.病毒運行后會登錄http://f***h.ch****en.com/ip/ip.php網(wǎng)站來獲得客戶機(jī)器的IP地址.
8.病毒運行后會通過讀取內(nèi)存的方式截獲客戶QQ的賬號,密碼等相關(guān)資料.然后把獲得的QQ的相關(guān)資料發(fā)送木馬種植者的郵箱.
病毒名稱(中文):QQ偽裝盜號者163840病毒別名:威脅級別:★☆☆☆☆病毒類型:偷密碼的木馬病毒長度:163840影響系統(tǒng):Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為:
該病毒是針對QQ即時聊天工具的盜號木馬�。病毒運行后會釋放偽裝成系統(tǒng)桌面進(jìn)程的病毒文件,修改注冊表增加啟動項����,然后通過內(nèi)存讀取的方式盜取密碼,并把密碼發(fā)送到木馬種植者的手上����。
1.生成文件
%sys32dir%\explorer.exe
%sys32dir%\systemlr.dll
2.生成注冊表啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run explorer.exe "C:\WINDOWS\system32\explorer.exe"
3.病毒運行后會生成一個病毒文件名的常駐進(jìn)程.
4.病毒還會把Dll文件注入到explorer.exe和其他的非系統(tǒng)進(jìn)程當(dāng)中.
5.病毒會把盜取的密碼發(fā)送到木馬種植者的郵箱中.
通過聊天工具傳播
|