返回列表 回复 发帖
我本善良

高级会员

Rank: 4

UID
2035807 
威望
12 点 
金钱
9710 金币 
点卡
7 点 
1#
打印
tT
发表于 2005-4-17 12:10 | 只看该作者

QQ黑号软件总结防范

oicqthief 1.5版
  
  监听原理:将原OICQ主文件OICQ.EXE改名为o.exe 用监听程序替代OICQ主文件,1.5版监听程序为60kb 发送的目的邮箱地址放在windows下系统目录中的system目录内,文件名为 oicqcfg。还有一个firstrun.dat的文件也在其中
  
  启 动:OICQ外壳,不驻留,但运行退出时OICQ有时不能完全退出,导致下次QQ可能无法启动。
  
  外在表现:OICQ 目录下出现两个企鹅头像,一个为 O.EXE 一个为 oicq.exe ,oicq.exe 为60K左右。
  
  对 策:删除OICQ目录中的伪主文件,将 O.EXE 更名为主文件OICQ.EXE,同时删除system中的OICQCFG 和firstrun.dat
  
  综 述:手法简单,隐蔽性差,很容易判断,属入门级的盗窃程序
  
  QQ密码侦探1.1版
  
  监听原理:将监听程序伪装成windows的启动文件internat.exe,将原system目录内的同名文件拷入 windows目录,将本目录文件更名为SMAXINTE.EXE 从而实现启动隐身后台运行。windows目录中的sqwin.ini是其运行记录文件。注册表中新建3个主键
  HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\SysTASK
  HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\SysTASK
  HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\SysTASK
  
  发送的邮箱、密码个数等信息放在
  HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\SysTASK
  \\Software\\Services\\Security\\Common\\SoftWare\\ControlsFolder\\Reconciliation
  \\Policies\\Retriction\\Adspopware\\Connection Wizard Explorer\\ShellServiceO
  bjectDelayLoad\\Windows Messaging Subsystem\\ProtectedStorage 中
  
  启 动:随系统启动,驻留后台运行
  
  外在表现:windows目录下存在internat.exe和sqwin.ini文件,system目录下internat.exe长度为196K,同时出现smaxinte.exe文件,长度大约37K。
  
  对 策:删除WINDOWS目录中的internat.exe和sqwin.ini文件,因system中的监听程序正在运行,所以无法直接删除,可用下列方式进行删除:
  1、用内存管理程序移掉内存中的INTERNAT,然后删除system中的INTERNAT.EXE,将smaxinte.exe改名为internat.exe
  2、将INTERNAT.EXE的系统属性改为普通,退到纯DOS下,再删除system中的INTERNAT.EXE,将 smaxinte.exe改名为internat.exe了解注册表的再删除
  HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\SysTASK
  HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\SysTASK
  HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\SysTASK 3个相关键
  
  综 述:隐蔽性极强,伪装做的很不错,基本没有明显漏洞,属专业级盗窃程序
  
  qqspy4.01 OICQ 密码监听记录工具4.01
  
  监听原理:将主文件QQSPY40.EXE和库文件oicqhook.dll放入系统目录system中,在注册表
  HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
  键内添加开机运行项: Oicqpass \"QQSpy40.exe\"从而实现开机后后台运行。
  接受邮箱放在注册表[HKEY_CURRENT_USER\\Software\\Oicq40] \"Email\"中
  
  启 动:开机自动驻留后台运行
  
  外在表现:windows目录的system目录下出现QQSPY40.EXE和oicqhook.dll
  
  对 策:删除注册表中的
  HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run OICQPASS
  \"QQSPY40.EXE\" HKEY_CURRENT_USER\\Software\\Oicq40
  重新启动,然后删除system目录中的QQSPY40.EXE和oicqhook.dll
  
  综 述:虽也采用了后台运行,但本身隐蔽性差,对系统和注册表稍微了解的就能轻易发现,属学习级盗窃程序
  
  qeyes 潜伏猎手
  
  监听原理:作者真是费尽心机,其先将主文件qeyes分身改头换面潜伏在系统目录system中,其3个分身分别为: C:\\WINDOWS\\SYSTEM\\sysreg.exe C:\\WINDOWS\\SYSTEM\\regservice32.exe
  C:\\WINDOWS\\SYSTEM\\rasint.dll
  然后在注册表中添加了双保险的开机运行程序
  HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run regservice
  \"C:\\windows\\system\\regservice32.exe\"
  HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices
  sysreg \"C:\\windows\\system\\sysreg.exe\"
  最可怕的是当系统正常运行后又会自动在system中增加第四个分身netw3c.exe ,同时在注册表同步添加了一个开机运行项。
  HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run netw3c
  \"C:\\windows\\system\\netw3c.exe\"
  如果清除时漏掉一个,那么程序又会自动复制全部分身,并重新添加注册表,使你前功尽弃。
  
  启 动:开机自动驻留后台运行
  
  外在表现:system目录中增加了4个文件: C:\\WINDOWS\\SYSTEM\\sysreg.exe
  C:\\WINDOWS\\SYSTEM\\regservice32.exe C:\\windows\\system\\netw3c.exe
  C:\\WINDOWS\\SYSTEM\\rasint.dll
  其中前三个的图标都是一只眼睛,大小都为370K
  
  对 策:重新启动退回纯dos,删除windows中system目录中的sysreg.exe,regservice32.exe,netw3c.exe, rasint.dll四个文件。
  然后删除注册表中的
  HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run regservice
  \"C:\\windows\\system\\regservice32.exe\"
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices sysreg
  \"C:\\windows\\system\\sysreg.exe\"
  HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run netw3c
  \"C:\\windows\\system\\netw3c.exe\"项
  上面步骤千万不可颠倒!!因为软件的自我保护性很强,先删注册表无法彻底根除监听程序,在你启动的同时系统就会自动恢复刚删除项。
  
  综 述:尽管作者最终还是跟踪破译了其盗窃原理,但还是为其兔子的手法,狐狸般的特性而叹为观止。这是一款典型的专家级盗窃程序。
  
  总 结:从上面例子不难看出,OICQ密码盗窃程序无非两类:一是外壳程序,如OICQTHIEF,一是后台程序,如其 他几类。外壳程序隐蔽性差(寄生的外壳程序除外),所以很容易被发现。而后台程序一般都隐藏很好, 而且开机自动运行,所以不易发现,危害性也较大。
  
  为了便于识别,现对上述几种程序的特征和判断方法 做一综合总结:
  文件判断:
  
  1、进入OICQ目录:出现O.EXE为感染oicqthief盗窃程序
  
  2、进入windows目录中的system目录 出现smaxinte.exe或internat.exe不是问号图标为感染QQ密码侦探 出现QQSPY40.EXE为感染qqspy 出现 sysreg.exe 或 regservice32.exe,netw3c.exe,rasint.dll 为感染 qeyes 潜伏猎手 注册表判断:运行regedit,进入
  HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
  默认键 是“internat”为感染QQ密码侦探 出现 OICQPASS 键 是感染 QQSPY40.EXE 出现 regservice 或netw3c 是感染qeyes潜伏猎手 !!
收藏 分享 评分
回复 引用

订阅 TOP

返回列表