QQ木馬

QQ木馬

計算機病毒程序
QQ木馬是針對QQ即時聊天工具的盜号木馬。病毒運行後會修改注冊表增加啟動項,破壞QQ醫生的運行。然後通過内存讀取的方式盜取用戶的QQ号和密碼,并把密碼發送到木馬種植者的手上。[1]
  • 中文名:QQ木馬
  • 外文名:Trojan.QQnether.445
  • 别名:
  • 類屬:木馬
  • 危害:盜取用戶的QQ号和密碼

盜号原理

本機安裝木馬竊聽用戶口令,這些木馬大多借助于密碼查看器探知密碼,首先要知道它是從哪個應用程式偷。判斷方法如下:

判斷方法1

從運行程式的檔案名判斷,比如程式QQ2000b是QQ程式。

應對策略

這種木馬比較笨,對付它很容易,隻要将QQ的可執行檔案換個名字,它們就會變成瞎子。

判斷方法2

查看當前運行的應用程式的标題是否是特征文字,如“QQ用戶登錄”。這類木馬的例子如OICQ密碼監聽記錄工具4.01。

應對策略

修改QQ的登錄窗口的标題欄,這樣木馬就不能識别你正在登錄QQ了。

判斷方法3

根據密碼域判斷。

有些軟體的胃口很大,它不隻想竊聽你的QQ口令,它還關心其他的一些口令,将獲取的賬戶和口令分門别類,供自己分析。這類軟體的危害極大,但是當前的介紹中,除了殺木馬之外,好像沒有較好的解決辦法。

鍵盤紀錄

該木馬會通過鍵盤自動紀錄用戶的密碼,并發送到指定的電子郵箱。

判斷方法

QQ登陸後不久異常下線,或自動關閉請求再次輸入密碼。

應對策略

打開密碼輸入框右側的軟鍵盤輸入登陸密碼。

行為分解

1、生成文件

%sys32dir%qqmm.vxd

2、生成CLSID組件

HKEY_CLASSES_ROOTCLSID

HKEY_CLASSES_ROOTCLSID@

HKEY_CLASSES_ROOTCLSIDInProcServer32

HKEY_CLASSES_ROOTCLSIDInProcServer32@C:WINDOWSsystem32qqmm.vxd

HKEY_CLASSES_ROOTCLSIDInProcServer32ThreadingModelApartment

3、修改注冊表,增加啟動項

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

4、病毒運行後會删除病毒源文件自身。

5、病毒運行後會把vxd文件注入到進程當中。

6、病毒運行後會删除QQ醫生的執行文件QQDoctorQQDoctor.exe

7、病毒運行後會登錄http://f***h.ch****en.com/ip/ip.php網站來獲得客戶機器的IP地址。

8、病毒運行後會通過讀取内存的方式截獲客戶QQ的賬号,密碼等相關資料。然後把獲得的QQ的相關資料發送木馬種植者的郵箱。

應對策略

QQ木馬說到底就是可以竊取你機密的程序,它是捆綁的一種文件~可以竊取你QQ密碼和聊天記錄。平時不要随意接收QQ上傳來的文件和QQ上其他人打開的網址。尤其是對方在網吧上網時,會自動傳來個文件或網站,千萬不要打開,除非對方是你熟悉的朋友先問一下是否是他發給你的。如果中了毒就用卡巴斯基殺進安全模式殺。在QQ硬盤裡有QQ病毒專殺工具,下載後殺毒就行。

QQ病毒專殺工具

百度可以搜索到,這裡提供兩個鍊接,專殺工具QQ木馬終極應對策略

通過eXeScope,可以對QQ進行徹底地改造,這樣,就可以防止任何本地的木馬:因為它們根本不可能知道你在運行QQ,也不知道你在輸入密碼,從而就不可能竊取到你的QQ密碼。

找到QQ可執行檔案的位置,将QQ目錄拷貝到其他位置,并将其中QQ可執行文件換名,如改為“副件qq2000b.exe”。這樣做的目的是為了防止木馬使用第一種判斷方法。

使用ExeScope打開QQ的可執行文件,找到要修改的項。

位置在[資源]→[對話框]→[對話框450],修改QQ登錄的标題欄。修改密碼域的屬性。

這樣做會導緻密碼以明文形式出現在輸入框,可能會被别人偷看,不過為了防止木馬偷看,你隻能這樣了。保存設置。運行“複件qq2000b.exe”看看吧。如果大家都采用這樣的防護措施,離QQ木馬的消失的日子就不遠了。

木馬預防

随着技術的發展,手機病毒也變得越來越強大。2012年6月初,一款名為“a.remote.obad”的安卓病毒被騰訊移動安全實驗室截獲,該病毒堪稱安卓平台最高級木馬病毒,具備防卸載、自動隐藏、防止反編譯等特性,用戶感染該病毒隻能采取刷機手段解決,無法卸載。騰訊移動安全實驗室推出“OBAD高級木馬專殺”,配合騰訊手機管家使用可完美卸載該病毒。

據騰訊移動安全實驗室介紹,安卓最高級病毒“a.remote.obad”具備防卸載、阻止反編譯、雲端控制等惡意行為。與此前截獲的其他病毒不同,該病毒一旦被安裝激活後,僞裝成系統文件,誘導用戶注冊後利用系統漏洞隐藏自身圖标,導緻用戶無法通過正常途徑卸載。

此外,通過代碼混淆和字符串加密讓安全工程師無法得到完整的入口信息,提升反編譯難度,從而達到保護自身的目的。病毒成功安裝激活之後,自動獲取Root權限,接收雲端指令,發送定制業務短信,屏蔽運營商回執,從而實施惡意扣費。同時,還可能竊取用戶手機上的隐私信息上傳至指定服務器。

“此前,對于OBAD最高級木馬病毒,各大安全廠商都隻能檢測到該病毒,無法做到完美卸載。隻能提醒用戶通過刷機解決問題。通過對病毒的深入分析,我們找到了完美卸載方法,推出OBAD高級木馬專殺工具。”騰訊移動安全實驗室工程師表示。

他還告訴記者,OBAD病毒利用系統漏洞達到攻擊的目的,而不僅僅是僞裝成其他APP進行惡意扣費,這讓我們重新認識了手機病毒的巨大危害,同時也呼籲Android盡快完善漏洞修複機制。對于廣大手機用戶來說從正規電子市場下載手機App,不打開陌生信息中的鍊接、安裝專業手機安全軟件、定期進行病毒查殺,可以有效防範各類手機病毒入侵。

相關詞條

相關搜索

其它詞條