荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: xhjx (输了你,赢了世界又如何), 信区: Virus
标 题: 腾讯QQ木马全功略
发信站: 荔园晨风BBS站 (Tue Jan 1 12:04:05 2002), 站内信件
最近发现一奇怪而又频繁的现象。就是当你一上OICQ就会收到腾讯发过来的系
统消息,说最近OICQ密码遗忘(其 实谁会忘记密码,还不是因为被黑!!呵呵!)
、被盗现象严重,要你赶快去申请密码保护, http://www.tencent.
com/service/……哈哈,其实啊,这都是GOP惹的祸,究竟是怎么回事呢?
GOP木马与其它木马不一样,它有一个很大的特色,就是没有客户端,也就是
说,黑客不用千辛万 苦地到你的机器上捣鼓就能轻而易举地得到你的OICQ号及密
码,哇,是不是真的,这似乎太恐怖了吧!!如果 你的OICQ还没有受到攻击的话
,赶快看看下文吧!
让我们一步一步来:
一、剖析GOP木马的使用设置
常言道“知己知彼,百战不殆”,要防范GOP的攻击,首先就要了解它的运作
机理。
最新版的GOP 1.2下载解压缩之后是3个可执行文件(.EXE)加一个说明文档,还
有一个附带的图标 。
其中gop.exe是服务端,EditGOP.exe是服务端编辑器(如图)GOPSlit.exe是个
整理发送记录的工 具。EditGOP的配置分为四个部分。
1.一般设置
复制到定义目录:下拉菜单中可以选择目录、目录、目录和源目录四种之一。
这就是木马的藏身 之地。如果是在目录下,你还不可以直接删除!
运行后删除源文件:一般不要选上。(谁不知道运行后莫名其妙就消失的东东
是木马!)
服务文件名(.EXE)/钩子文件名(.DLL):默认为sysexhook.exe/gHookDll.dll
,位置为定义目录下 (上文所说四种目录之一),但这两个文件名可以随意更改!
定义注册表键名:木马一旦被运行过,就会在注册表中
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主键之下添加
木马的键(默认值为 WindowsAgent,当然你也可以改的),以便今后每次开机时木马
都能够自动运行。
当记录数超过××个时开始清理:当GOP记录文件中的记录数达到这个××值
的时候自动对记录进 行清理(黑客真是坐享其成哦)。
2.邮件设置
SMTP:设置邮件发送服务器。知道这是干什么用的吗?当你上网的时候,GOP
木马就会通过这个邮 [iduba_page] 件服务器把你的OICQ密码发送到黑客的邮箱里
面,还可以进行当场测试!(哦,怪不得没有客户端呢)。
发送邮箱:这是黑客用来发送邮件的信箱帐号。国内的免费信箱的提供商大都
对SMTP服务器进行 了限制,所以需要设置一个合法的邮件账号来发送信件。
接收信箱:接收GOP木马发送的OICQ号和密码记录文档的信箱,受害者密码的
最终目的地。格式: OICQ: [OICQ号] || PASSWORD: [OICQ密码]
主题标识:黑客收到OICQ号和密码记录文档的主题。格式:[主题标识]-[服务
端计算机的名 ]-GOPv1.2 by boomslang。这里可以区分从各地发过来的记录。
检查间隔(秒):设定GOP检查记录文档的时间间隔。如果检查时记录已经更新
并且在线,就马上发 送记录。还可以设置邮件优先级(低、中、高),很像正规邮
件嘛!
3.欺骗窗口
这里你可千万要注意!当你运行GOP木马(文件名不一定是GOP,所以千万要警
慎!)的时候弹出一 个欺骗窗口。比方说,定义一个标题为“警告”,内容为“内
存不足!”,图标为“叹号”的欺骗窗口。这样 在别人第一次运行这个木马的时
候就会弹出定义的那个窗口,于是在神不知鬼不觉之中木马已经被植入电脑了 。
还可以设置其它的弹出窗口(如图)
这就是你运行GOP木马所弹出来的窗口!
4.文件捆绑
该木马自带文件捆绑工具,真是很恐怖。以下是它的重要选项:
宿主文件:黑客可以在网上随便找一个小动画或者小程序,把它作为“寄生”
的目标。所以你最好不要到不知名的网站下载东东,可能这就是一个陷阱哦!
文件图标:如果黑客找一个和系统工具一样的图标(16色图标文件),一般的人
是不敢删除的。这样,及时知道有木马也无法及时清除。想得真是周到!
[iduba_page]
gop.exe:这就是GOP木马!需要GOPEdit编辑,具体过程就是上文所说的。文
件可以任意更名,所以当你收到陌生人的邮件(带有可执行附件),千万不要打开啊
!
GOPSplit.exe:好像没什么大用,因为在GOPEdit.exe里可清理。
(好了,有了GOP木马,大家就可以放心的去偷别人的OICQ密码了,可千万别说
是我告诉你的哦!(哈哈,开个玩笑!)
下面开始讲如何对付这个木马。因为它很新(才出来几天呀)!
二、GOP木马的检查
该木马运行的时候在Windows的任务窗口中是看不到的(费话!要是能看得到,
还会有这样多人“遣忘”密码吗?)你可以点任务条上的“开始”、“运行”、“
msinfo32”(就是Windows自带的系统信息,在“附件”中)。看其中的软件环境→
正在运行的任务。这才是Windows现在全部运行的任务。当你在运行了什么东西之
后觉得有问题的时候就看看这里。如果有一个项目有程序名和路径,而没有版本、
厂商和说明,你就应该紧张一下了。GOP木马在这里显示的版本为:“不能用”。
如果你发现GOP木马,先关掉你的猫(断网),然后脱机重新登录一次你的OICQ,查
找电脑中是否有record.dat文件(每个盘都应该查一下!绝不放过!)(这是GOP记录
OICQ密码的文档,如果你的OICQ密码被监控到了就一定会有。当然,即使你中了木
马,在你还没有用OICQ的时候是不会有这个文件的。反正现在不在网上,不用担心
密码被发走)。如果有的话,那么“恭喜”你了,100%中了木马。不信?用记事本
打开那个record.dat,看看有没有你的宝贝OICQ的号码和密码。
你还可以运行系统配置实用程序(开始―运行―msconfig),在启动栏里,你亦
可发现“WindowsAgent”(就是上文提到的“定义注册表键名”,可能会是其它键名
)。
三、木马的清除
庆幸的是,至今为止绝大部分的木马都是在注册表的
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主键下添加一
个键值来让木马自动运行,该木马也不例外。运行regedit,进入
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主键,记住那
个在系统信息中查到的那个文件,也可在msconfig―启动―名称里找到(在“剖析
木马的设置”中,我们知道木马文件名是可以任意定制的,所以无法确定具体的文
件名)的存放路径,删除该键值。然后关闭计算机,稍候一下启动计算机(注意:不
要选重新启动)。然后进入文件的存放路径删除木马文件即可。
最好的办法是自己也下载一个GOP,然后用EditGOP打开木马文件,会知道和木
马关联的文件位置,然后删除。如果是删除的文件是系统本身就有的,还需要再拷
贝一个正确的回来。最重要的一点是打开木马之后可以知道黑客的E-mail地址了(
如果不清楚,请参看上面“剖析木马的设置”)。知道这个东东有什么用就看你自
己的了。反正腾讯公司说偷窃别人的OICQ是违法的行为。
因为OICQ是腾讯人发明的,所以,腾讯人也采取了措施,在腾讯公司的主页―
最新下载―防木马软件―有一个专门清除GOP木马的软件KILLGOP(如行后如图
killgop)
运行后扫描就行了,如果清除失败的话可再扫描一遍。如果你是个电脑新手而
又是QQ高手的话,赶紧去下载一个,看看你是否中了GOP木马!
--
╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳
╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳
╳╳爱你,不长,就一生. ╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳
╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳Oicq: 28174835╳╳╳╳
╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳╳
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店