QQ大盗原理探究 fooying(H.U.C) QQ413673800 email:zhangzuyou@vip.qq.com blog:http://hi.baidu.com/fooying 前一段时间QQ大盗很是流行。其实这款特殊木马没有名字,只是它的运行方式通过QQ提示,由此得到名。今天就同大家一起来探究下它的原理。 我们闲来看其具体的盗号前的现象。运行QQ大盗后,系统没有任何反常现象,可是当我们运行QQ后,首先我们的QQ会自动关闭,这时我们会再次打开QQ进行登录,等会QQ再次关闭,并弹出程序出错提示窗口,我们随手关闭,这是QQ登录框自动弹出,然后我们再次登录,之后密码就被发送给种马者了。 其实整个过程看着很合理,那么到底是哪个环节号码被盗呢?就是那个最后弹出的登录窗口。 下面我根据其盗号过程来探究下它的原理。首先运行这个木马(指QQ提示大盗,后面简称木马)后,木马会自动隐藏自己,然后监视进程,当它发现进程中出现QQ进程时就会关闭进程,并记录下第一关闭,如果没有发现继续等待监视。当再次发现QQ登录进程,确认是第二次出现后,它会再次关闭QQ,然后弹出伪造好的程序出错提示窗口,我们关闭后,木马再次弹出伪造的QQ登录窗口,这时我们登录的话,那就是将帐号密码发给种马者了。原理很简单,就是利用人们平时对这些信息的忽视以及不好的操作习惯。 这个木马要识别也很简单,心细的人应该能发现。不说其他的方法,就说最后弹出的那个登录窗口,如果你心细,你会发现,输入的帐号是小字体黑色的,而非QQ那样有颜色并大字体的。通过这点就能很好的辨别了。 其实很多木马利用的就是大家的一些不好的习惯,如果大家能养成良好的上网习惯,那么基本是不会中马的。比如说不要随便接收运行文件、按期修补漏洞等,做好这些,基本就能保证系统安全了。 文学151 2010-04-07 23:29 | 回复 原理是很简单的!!但是博主知道阿拉QQ密码潜伏着的原理是什么吗? 2 fooying 2010-04-11 20:04 | 回复 回复文学151: 这个软件没用过,刚才试用了下,大概明白其原理 就是事先设定,运行后会在设定的时间里关闭QQ.exe进程,并且删除桌面QQ图标,然后假造个QQ放桌面,等用户看见QQ掉线时自然而然的点击桌面QQ登陆,这时启动的QQ就是盗号程序,会将密码和帐号发到事先设定的邮箱或者asp文件。 |