一、知己知彼,盜號技術不再神祕
如今,還在持續更新的QQ盜號軟體已經所剩無幾,其中最為著名,流傳最廣的則非“啊拉QQ大盜”莫屬,目前絕大多數的QQ號被盜事件都是由這個軟體引起的。軟體的使用條件很簡單,只要你有一個支援smtp發信的郵箱或者一個支援asp指令碼的網頁空間即可。而且該木馬可以將盜取的QQ號自動分為靚號和非靚號兩種,並將它們分別傳送到不同的信箱中,這也是“啊拉QQ大盜”如此流行的原因之一。接下來,便讓我們先來了解一下其工作原理,以便從中找到反擊的良方。
1、選擇盜號模式
下載“啊拉QQ大盜”,解壓後有兩個檔案:、愛永恆,愛保姆。其中是“啊拉QQ大盜”的配置程式,愛永恆,愛保姆是使用“網站收信”模式時需使用的檔案。正式使用之前,還需要設定其引數。
“郵箱收信”配置:執行,出現程式的配置介面。在“發信模式選擇”選項中選中“郵箱收信”,在“郵箱收信”填寫電子郵箱地址(建議使用程式預設的網易的郵箱)。這裡以郵箱(密碼n_12345)為例來介紹“郵箱收信”模式時的配置,並進行下文中的測試。此外,在“收信箱(靚)”和“收信箱(普)”中可以填入不同的郵箱地址用來接受QQ靚號和普通QQ號。然後在“發信伺服器”下拉框中選擇自己郵箱相應的smtp伺服器,這裡是。最後填入發信箱的帳號、密碼、全稱即可。
設定完畢後,我們可以來測試一下填寫的內容是否正確,點選下方“測試郵箱”按鈕,程式將會出現郵箱測試狀態。如果測試的專案都顯示成功,即可完成郵箱資訊配置。
“網站收信”配置:除了選擇“郵箱收信”模式之外,我們還可以選擇“網站收信”模式,讓盜取的QQ號碼自動上傳到指定的網站空間。當然,在使用之前,也需要做一些準備工作。
用FTP軟體將愛永恆,愛保姆上傳支援ASP指令碼的空間,執行,在“Asp介面地址”中輸入愛永恆,愛保姆所在的URL地址,那麼,當木馬截獲QQ號碼資訊後,就會將其保存於愛永恆,愛保姆同目錄下的檔案中。
2、設定木馬附加引數
接下來我們進行高階設定。如果勾選“執行後關閉QQ”,對方一旦執行“啊拉QQ大盜”生成的木馬,QQ將會在60秒後自動關閉,當對方再次登入QQ後,其QQ號碼和密碼會被木馬所截獲,併發送到盜號者的郵箱或網站空間中。此外,如果希望該木馬被用於網咖環境,那就需要勾選“還原精靈自動轉存”,以便系統重起後仍能執行木馬。除這兩項外,其他保持預設即可。
3、盜取QQ號碼資訊
配置完“啊拉QQ大盜”,點選程式介面中的“生成木馬”,即可生成一個能盜取QQ號碼的木馬程式。我們可以將該程式偽裝成圖片、小遊戲,或者和其他軟體捆綁後進行傳播。當有人執行相應的檔案後,木馬會隱藏到系統中,當系統中有QQ登入時,木馬便會開始工作,將相關的號碼及密碼擷取,並按照此前的設定,將這些資訊傳送到郵箱或者網站空間。
二、練就慧眼,讓木馬在系統中無處可逃
現在,我們已經瞭解了“啊拉QQ大盜”的一般流程,那麼如何才能從系統中發現“啊拉QQ大盜”呢?一般來說,如果碰到了以下幾種情況,那就應該小心了。
·QQ自動關閉。
·執行某一程式後其自身消失不見。
·執行某一程式後防毒軟體自動關閉。
·訪問防毒軟體網站時瀏覽器被自動關閉。
·如果防毒軟體有郵件監控功能的,出現程式傳送郵件的警告框。
·安裝有網路防火牆(例如天網防火牆),出現訪問網路的警告。
出現上述情況的一種或多種,系統就有可能已經感染了“啊拉QQ大盜”。當然,感染了木馬並不可怕,我們同樣可以將其從系統中清除出去。
1、手工查殺木馬。發現系統感染了“啊拉QQ大盜”後我們可以手工將其清除。“啊拉QQ大盜”執行後會在系統目錄中的system32資料夾下生成一個名為的檔案,並在登錄檔的啟動項中加入木馬的鍵值,以便每次系統啟動都能執行木馬。我們首先要做的就是執行“工作管理員”,結束其中的木馬程序“”。然後開啟資源管理器中的“資料夾選項”,選擇其中的“檢視”標籤,將其中“隱藏受保護的作業系統檔案”選項前面的勾去掉。接著進入系統目錄中的system32資料夾,將檔案刪除。最後進入登錄檔刪除鍵值,該鍵值位於HKEY_LOCAL_MACHINESoftware Microsoft Windows Currentversion Run。
2、解除安裝木馬。解除安裝“啊拉QQ大盜”很簡單,只要下載“啊拉QQ大盜”的配置程式,執行後點擊其中的“解除安裝程式”按鈕即可將木馬完全清除出系統。
三、以退為進,給盜號者以致命一擊
忙乎了半天,終於把系統中的“阿拉QQ大盜”徹底清除,那麼,面對可惡的盜號者,我們是不是應該給他一個教訓呢?
1、利用漏洞,由守轉攻
這裡所謂的“攻”,並不是直接入侵盜號者的電腦,相信這種“技術活”並不適合大家。這裡只是從盜號軟體幾乎都存在的漏洞入手,從而給盜號者一個教訓。
那麼這個漏洞是什麼呢?
從此前對“啊拉QQ大盜”的分析中可以看到,配置部分填寫了收取QQ號碼資訊郵件的郵箱帳號和密碼,而郵箱的帳號和密碼都是明文儲存在木馬程式中的。因此,我們可以從生成的木馬程式中找到盜號者的郵箱帳號和密碼。進而輕鬆控制盜號者的郵箱,讓盜號者偷雞不成反蝕把米。
提示:以上漏洞僅存在於將QQ號碼資訊以郵件傳送方式的木馬,如果在配置“啊拉QQ大盜”的過程中選擇使用網站接收的方式則不存在該漏洞。
2、網路嗅探,反奪盜號者郵箱
當木馬擷取到QQ號碼和密碼後,會將這些資訊以電子郵件的形式傳送到盜號者的郵箱,我們可以從這裡入手,在木馬傳送郵件的過程中將網路資料包擷取下來,這個被截獲的資料包中就含有盜號者郵箱的帳號和密碼。擷取資料包時我們可以使用一些網路嗅探軟體,這些嗅探軟體可以很輕鬆得擷取資料包並自動過濾出密碼資訊。
·x-sniff
x-sniff是一款命令列下的嗅探工具,嗅探能力十分強大,尤其適合嗅探資料包中的密碼資訊。
將下載下來的x-sniff解壓到某個目錄中,例如“c:”,然後執行“命令提示符”,在“命令提示符”中進入x-sniff所在的目錄,然後輸入命令“
-pass -hide -log
”即可(命令含義:在後臺執行x-sniff,從資料包中過濾出密碼資訊,並將嗅探到的密碼資訊儲存到同目錄下的檔案中)。
嗅探軟體設定完畢,我們就可以正常登入QQ。此時,木馬也開始執行起來,但由於我們已經執行x-sniff,木馬發出的資訊都將被擷取。稍等片刻後,進入x-sniff所在的資料夾,開啟,便可以發現x-sniff已經成功嗅探到郵箱的帳戶和密碼。
·sinffer
可能很多朋友對命令列下的東西都有一種恐懼感,所以我們可以使用圖形化的嗅探工具來進行嗅探。例如適合新手使用的sinffer。
執行sinffer之前,我們需要安裝WinPcap驅動,否則sinffer將不能正常執行。
執行sinffer。首先我們需要為指定一塊網絡卡,點選工具欄上的網絡卡圖示,在彈出的視窗中選擇自己使用的網絡卡,點“OK”後即可完成配置。確定以上配置後,點選sinffer工具欄中的“開始”按鈕,軟體即開始了嗅探工作。
接下來,我們正常登陸QQ,如果嗅探成功,就會在sinffer的介面中出現捕獲的資料包,其中郵箱帳號密碼資訊被很清晰得羅列了出來。
得到盜號者的郵箱帳號和密碼以後,我們可以將其中的QQ號碼資訊郵件全部刪除,或者修改他的郵箱密碼,給盜號者一個教訓,讓我們菜鳥也正義一把。
