精华区 [关闭][返回]
当前位置:网易精华区>>讨论区精华>>电脑技术>>● 计算机安全>>◇网络安全◇>>安全技术>>OICQ号码盗窃程序全接触

主题:OICQ号码盗窃程序全接触
发信人: yestamp(dragonfly)
整理人: starseacn(2001-09-17 19:45:06), 站内信件
编者按:收到这篇文章时确实有些犹豫,刊登吧,有授人以矛之嫌,不刊登吧,心见一些不自爱之人动辄做些有悖德理之事或偷别人的资料或抢别人的OICQ号码,本人也深受其苦,总想着给他们一个盾。这矛盾集于一身,最后,我决定刊登,因为自爱的人是绝大多数的! 

    早听说如今使用OICQ很不安全,在网吧,说不定你刚前脚刚走,后面你心爱的QQ就会号在人非,本人一直是在家里上网。因此对此往往是一笑置之,不很在意,直到朋友找到我,一脸苦笑说他的几个六位号码相继被盗,求我务必帮帮时,才对此产生了一点兴趣,为了了解其盗窃原理,我连续下载了多个现今流行的盗窃监听程序,用自己的机器做平台,对其原理进行了细致的研究剖析,为了让大家对此有所了解,能及早发现并采取相应对策,我对几个有代表作用的盗窃监听程序的原理和特点归纳总结如下。 

     oicqthief  1.5版 

    监听原理:将原OICQ主文件OICQ.EXE改名为o.exe 用监听程序替代OICQ主文件,1.5版监听程序为60kb 
  发送的目的邮箱地址放在windows下系统目录中的system目录内,文件名为 oicqcfg。还有一个firstrun.dat的文件也在其中 

    启    动:OICQ外壳,不驻留,但运行退出时OICQ有时不能完全退出,导致下次QQ可能无法启动。 

    外在表现:OICQ目录下出现两个企鹅头像,一个为O.EXE 一个为oicq.exe ,oicq.exe为60K左右。 

    对    策:删除OICQ目录中的伪主文件,将O.EXE更名为主文件OICQ.EXE,同时删除system中的OICQCFG         和firstrun.dat 

    综    述:手法简单,隐蔽性差,很容易判断,属入门级的盗窃程序 
    QQ密码侦探1.1版 

    监听原理:将监听程序伪装成windows的启动文件internat.exe,将原system目录内的同名文件拷入 
    windows目录,将本目录文件更名为SMAXINTE.EXE  从而实现启动隐身后台运行。windows目录中的sqwin.ini是其运行记录文件。注册表中新建3个主键 
                    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SysTASK 
         HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK 
         HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SysTASK  
 发送的邮箱、密码个数等信息放在 
         HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK 
        \Software\Services\Security\Common\SoftWare\ControlsFolder\Reconciliation 
        \Policies\Retriction\Adspopware\Connection Wizard Explorer\ShellServiceO 
         bjectDelayLoad\Windows Messaging Subsystem\ProtectedStorage中 

    启    动:随系统启动,驻留后台运行 

    外在表现:windows目录下存在internat.exe和sqwin.ini文件,system目录下internat.exe长度为196K,同时出现smaxinte.exe文件,长度大约37K。 

    对    策:删除WINDOWS目录中的internat.exe和sqwin.ini文件,因system中的监听程序正在运行,所以无法直接删除,可用下列方式进行删除: 
      1、用内存管理程序移掉内存中的INTERNAT,然后删除system中的INTERNAT.EXE,将smaxinte.exe改名为internat.exe 
      2、将INTERNAT.EXE的系统属性改为普通,退到纯DOS下,再删除system中的INTERNAT.EXE,将 smaxinte.exe改名为internat.exe了解注册表的再删除 
         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SysTASK 
         HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK 
         HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SysTASK         3个相关键 

    综    述:隐蔽性极强,伪装做的很不错,基本没有明显漏洞,属专业级盗窃程序 


qqspy4.01     OICQ 密码监听记录工具4.01  

    监听原理:将主文件QQSPY40.EXE和库文件oicqhook.dll放入系统目录system中,在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run键内添加开机运行项: Oicqpass  "QQSpy40.exe"从而实现开机后后台运行。 
   接受邮箱放在注册表[HKEY_CURRENT_USER\Software\Oicq40]  "Email"中 

    启    动:开机自动驻留后台运行 
    外在表现:windows目录的system目录下出现QQSPY40.EXE和oicqhook.dll 
    对    策:删除注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run   
          OICQPASS  "QQSPY40.EXE" 
         HKEY_CURRENT_USER\Software\Oicq40 
    重新启动,然后删除system目录中的QQSPY40.EXE和oicqhook.dll 

     综    述:虽也采用了后台运行,但本身隐蔽性差,对系统和注册表稍微了解的就能轻易发现,属学习级盗窃程序 
     qeyes   潜伏猎手 

    监听原理:作者真是费尽心机,其先将主文件qeyes分身改头换面潜伏在系统目录system中,其3个分身分别为: 
         C:\WINDOWS\SYSTEM\sysreg.exe    
         C:\WINDOWS\SYSTEM\regservice32.exe   
         C:\WINDOWS\SYSTEM\rasint.dll 
         然后在注册表中添加了双保险的开机运行程序 
             HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run regservice           "C:\windows\system\regservice32.exe"         HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices sysreg           "C:\windows\system\sysreg.exe" 
        最可怕的是当系统正常运行后又会自动在system中增加第四个分身netw3c.exe ,同时在注册表同步添加了一个开机运行项。 
         HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run netw3c           "C:\windows\system\netw3c.exe" 
        如果清除时漏掉一个,那么程序又会自动复制全部分身,并重新添加注册表,使你前功尽弃。 
        启    动:开机自动驻留后台运行 
        外在表现:system目录中增加了4个文件: 
         C:\WINDOWS\SYSTEM\sysreg.exe    
         C:\WINDOWS\SYSTEM\regservice32.exe   
         C:\windows\system\netw3c.exe 
         C:\WINDOWS\SYSTEM\rasint.dll 
    其中前三个的图标都是一只眼睛,大小都为370K 

        对   策:重新启动退回纯dos,删除windows中system目录中的sysreg.exe,regservice32.exe,netw3c.exe, 
        rasint.dll四个文件。然后删除注册表中的        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run regservice          "C:\windows\system\regservice32.exe" 
        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices sysreg          "C:\windows\system\sysreg.exe" 
        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run netw3c  
         "C:\windows\system\netw3c.exe"项 

        上面步骤千万不可颠倒!!因为软件的自我保护性很强,先删注册表无法彻底根除监听程序,在你启动的同时系统就会自动恢复刚删除项。 

        综   述:尽管作者最终还是跟踪破译了其盗窃原理,但还是为其兔子的手法,狐狸般的特性而叹为观止。这是一款典型的专家级盗窃程序。 

        总   结:从上面例子不难看出,OICQ密码盗窃程序无非两类:一是外壳程序,如OICQTHIEF,一是后台程序,如其 
    他几类。外壳程序隐蔽性差(寄生的外壳程序除外),所以很容易被发现。而后台程序一般都隐藏很好, 
    而且开机自动运行,所以不易发现,危害性也较大。为了便于识别,现对上述几种程序的特征和判断方法 
    做一综合总结: 

        文件判断: 
        1、进入OICQ目录:出现O.EXE为感染oicqthief盗窃程序 
         2、进入windows目录中的system目录 
       出现smaxinte.exe或internat.exe不是问号图标为感染QQ密码侦探 
       出现QQSPY40.EXE为感染qqspy 
            出现sysreg.exe或regservice32.exe,netw3c.exe,rasint.dll为感染qeyes 潜伏猎手 

        注册表判断:运行regedit,进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 

     默认键 是“internat”为感染QQ密码侦探 
     出现OICQPASS键 是感染QQSPY40.EXE 
     出现regservice或netw3c是感染qeyes潜伏猎手


----
Yestamp.net
网易虚拟社区上海站 收藏爱好斑竹
超级酷免费留言本 
[关闭][返回]