網站導航

剖盜QQ木馬

剖盜QQ木馬

　　 oicqthief 1.5版

監聽原理：將原OICQ主文件OICQ.EXE改名為o.exe 用監聽程序替代OICQ主文件，1.5版監聽程序為60kb
發送的目的郵箱地址放在windows下系統目錄中的system目錄內，文件名為 oicqcfg。還有一個firstrun.dat的文件也在其中

啟動：OICQ外殼，不駐留，但運行退出時OICQ有時不能完全退出，導致下次QQ可能無法啟動。

外在表現：OICQ目錄下出現兩個企鵝頭像，一個為O.EXE 一個為oicq.exe ，oicq.exe為60K左右。

對策：刪除OICQ目錄中的偽主文件，將O.EXE更名為主文件OICQ.EXE，同時刪除system中的OICQCFG 和firstrun.dat

綜述：手法簡單，隱蔽性差，很容易判斷，屬入門級的盜竊程序
QQ密碼偵探1.1版

監聽原理：將監聽程序偽裝成windows的啟動文件internat.exe，將原system目錄內的同名文件拷入
windows目錄，將本目錄文件更名為SMAXINTE.EXE 從而實現啟動隱身後台運行。windows目錄中的sqwin.ini是其運行記錄

文件。註冊表中新建3個主鍵
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\SysTASK
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\SysTASK
HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\SysTASK

發送的郵箱、密碼個數等信息放在
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\SysTASK
\\Software\\Services\\Security\\Common\\SoftWare\\ControlsFolder\\Reconciliation
\\Policies\\Retriction\\Adspopware\\Connection Wizard Explorer\\ShellServiceO
bjectDelayLoad\\Windows Messaging Subsystem\\ProtectedStorage中

啟動：隨系統啟動，駐留後台運行

外在表現：windows目錄下存在internat.exe和sqwin.ini文件，system目錄下internat.exe長度為196K，同時出現

smaxinte.exe文件，長度大約37K。

對策：刪除WINDOWS目錄中的internat.exe和sqwin.ini文件，因system中的監聽程序正在運行，所以無法直接刪除，可

用下列方式進行刪除：
1、用內存管理程序移掉內存中的INTERNAT，然後刪除system中的INTERNAT.EXE，將smaxinte.exe改名為internat.exe
2、將INTERNAT.EXE的系統屬性改為普通，退到純DOS下，再刪除system中的INTERNAT.EXE，將 smaxinte.exe改名為i

nternat.exe瞭解註冊表的再刪除
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\SysTASK
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\SysTASK
HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\SysTASK 3個相關鍵

綜述：隱蔽性極強，偽裝做的很不錯，基本沒有明顯漏洞，屬專業級盜竊程序

qqspy4.01 OICQ 密碼監聽記錄工具4.01

監聽原理：將主文件QQSPY40.EXE和庫文件oicqhook.dll放入系統目錄system中，在註冊表HKEY_LOCAL_MACHINE\\Software

\\Microsoft\\Windows\\CurrentVersion\\Run鍵內添加開機運行項： Oicqpass "QQSpy40.exe"從而實現開機後後台運行。
接受郵箱放在註冊表[HKEY_CURRENT_USER\\Software\\Oicq40] "Email"中

啟動：開機自動駐留後台運行
外在表現：windows目錄的system目錄下出現QQSPY40.EXE和oicqhook.dll
對策：刪除註冊表中的HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
OICQPASS "QQSPY40.EXE"
HKEY_CURRENT_USER\\Software\\Oicq40
重新啟動，然後刪除system目錄中的QQSPY40.EXE和oicqhook.dll

綜述：雖也採用了後台運行，但本身隱蔽性差，對系統和註冊表稍微瞭解的就能輕易發現，屬學習級盜竊程序
qeyes 潛伏獵手

監聽原理：作者真是費盡心機，其先將主文件qeyes分身改頭換面潛伏在系統目錄system中，其3個分身份別為：
C:\\WINDOWS\\SYSTEM\\sysreg.exe
C:\\WINDOWS\\SYSTEM\\regservice32.exe
C:\\WINDOWS\\SYSTEM\\rasint.dll
然後在註冊表中添加了雙保險的開機運行程序
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run regservice

"C:\\windows\\system\\regservice32.exe"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices sysreg

"C:\\windows\\system\\sysreg.exe"
最可怕的是當系統正常運行後又會自動在system中增加第四個分身netw3c.exe ，同時在註冊表同步添加了一個開機運行項
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run netw3c

"C:\\windows\\system\\netw3c.exe"
如果清除時漏掉一個，那麼程序又會自動複製全部分身，並重新添加註冊表，使你前功盡棄。
啟動：開機自動駐留後台運行
外在表現：system目錄中增加了4個文件：
C:\\WINDOWS\\SYSTEM\\sysreg.exe
C:\\WINDOWS\\SYSTEM\\regservice32.exe
C:\\windows\\system\\netw3c.exe
C:\\WINDOWS\\SYSTEM\\rasint.dll
其中前三個的圖標都是一隻眼睛，大小都為370K

對策：重新啟動退回純dos，刪除windows中system目錄中的sysreg.exe,regservice32.exe,netw3c.exe，
rasint.dll四個文件。然後刪除註冊表中的

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run regservice

"C:\\windows\\system\\regservice32.exe"HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices sysreg

"C:\\windows\\system\\sysreg.exe"
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run netw3c
"C:\\windows\\system\\netw3c.exe"項

上面步驟千萬不可顛倒！！因為軟件的自我保護性很強，先刪註冊表無法徹底根除監聽程序，在你啟動的同時系統就會

自動恢復剛刪除項。

綜述：儘管作者最終還是跟蹤破譯了其盜竊原理，但還是為其兔子的手法，狐狸般的特性而歎為觀止。

這是一款典型的專家級盜竊程序。

總結：從上面例子不難看出，OICQ密碼盜竊程序無非兩類：一是外殼程序，如OICQTHIEF，一是後台程序，如其
他幾類。外殼程序隱蔽性差（寄生的外殼程序除外），所以很容易被發現。而後台程序一般都隱藏很好，
而且開機自動運行，所以不易發現，危害性也較大。為了便於識別，現對上述幾種程序的特徵和判斷方法
做一綜合總結：

文件判斷：
1、進入OICQ目錄：出現O.EXE為感染oicqthief盜竊程序
2、進入windows目錄中的system目錄
出現smaxinte.exe或internat.exe不是問號圖標為感染QQ密碼偵探
出現QQSPY40.EXE為感染qqspy
出現sysreg.exe或regservice32.exe，netw3c.exe，rasint.dll為感染qeyes 潛伏獵手

註冊表判斷：運行regedit,進入HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

默認鍵是「internat」為感染QQ密碼偵探
出現OICQPASS鍵是感染QQSPY40.EXE
出現regservice或netw3c是感染qeyes潛伏獵手
　

綜合資訊大全

金牌測算

免費起名

免費測名

個性網名

個性簽名

個性資料