OICQ号码盗窃程序全接触！

OICQ号码盗窃程序全接触！

　编者按：收到这篇文章时确实有些犹豫，刊登吧，有授人以矛之嫌，不刊登吧，心见一些不自爱之人动辄做些有悖德理之
事或偷别人的资料或抢别人的OICQ号码，本人也深受其苦，总想着给他们一个盾。这矛盾集于一身，最后，我决定刊登，
因为自爱的人是绝大多数的！

早听说如今使用OICQ很不安全，在网吧，说不定你刚前脚刚走，后面你心爱的QQ就会号在人非，本人一直是在家里上
网。因此对此往往是一笑置之，不很在意，直到朋友找到我，一脸苦笑说他的几个六位号码相继被盗，求我务必帮帮时，
才对此产生了一点兴趣，为了了解其盗窃原理，我连续下载了多个现今流行的盗窃监听程序，用自己的机器做平台，对其
原理进行了细致的研究剖析，为了让大家对此有所了解，能及早发现并采取相应对策，我对几个有代表作用的盗窃监听程
序的原理和特点归纳总结如下。

oicqthief 1.5版

监听原理：将原OICQ主文件OICQ.EXE改名为o.exe 用监听程序替代OICQ主文件，1.5版监听程序为60kb
发送的目的邮箱地址放在windows下系统目录中的system目录内，文件名为 oicqcfg。还有一个firstrun.dat的文件也在
其中

启动：OICQ外壳，不驻留，但运行退出时OICQ有时不能完全退出，导致下次QQ可能无法启动。

外在表现：OICQ目录下出现两个企鹅头像，一个为O.EXE 一个为oicq.exe ，oicq.exe为60K左右。

对策：删除OICQ目录中的伪主文件，将O.EXE更名为主文件OICQ.EXE，同时删除system中的OICQCFG 和
firstrun.dat

综述：手法简单，隐蔽性差，很容易判断，属入门级的盗窃程序
QQ密码侦探1.1版

监听原理：将监听程序伪装成windows的启动文件internat.exe，将原system目录内的同名文件拷入
windows目录，将本目录文件更名为SMAXINTE.EXE 从而实现启动隐身后台运行。windows目录中的sqwin.ini是其运行
记录文件。注册表中新建3个主键
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SysTASK
发送的邮箱、密码个数等信息放在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
\Software\Services\Security\Common\SoftWare\ControlsFolder\Reconciliation
\Policies\Retriction\Adspopware\Connection Wizard Explorer\ShellServiceO
bjectDelayLoad\Windows Messaging Subsystem\ProtectedStorage中

启动：随系统启动，驻留后台运行

外在表现：windows目录下存在internat.exe和sqwin.ini文件，system目录下internat.exe长度为196K，同时出现
smaxinte.exe文件，长度大约37K。

对策：删除WINDOWS目录中的internat.exe和sqwin.ini文件，因system中的监听程序正在运行，所以无法直接删
除，可用下列方式进行删除：
1、用内存管理程序移掉内存中的INTERNAT，然后删除system中的INTERNAT.EXE，将smaxinte.exe改名为
internat.exe
2、将INTERNAT.EXE的系统属性改为普通，退到纯DOS下，再删除system中的INTERNAT.EXE，将 smaxinte.exe改名为
internat.exe了解注册表的再删除
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SysTASK 3个相关键

综述：隐蔽性极强，伪装做的很不错，基本没有明显漏洞，属专业级盗窃程序

qqspy4.01 OICQ 密码监听记录工具4.01

监听原理：将主文件QQSPY40.EXE和库文件oicqhook.dll放入系统目录system中，在注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run键内添加开机运行项：
Oicqpass "QQSpy40.exe"从而实现开机后后台运行。
接受邮箱放在注册表[HKEY_CURRENT_USER\Software\Oicq40] "Email"中

启动：开机自动驻留后台运行
外在表现：windows目录的system目录下出现QQSPY40.EXE和oicqhook.dll
对策：删除注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
OICQPASS "QQSPY40.EXE"
HKEY_CURRENT_USER\Software\Oicq40
重新启动，然后删除system目录中的QQSPY40.EXE和oicqhook.dll

综述：虽也采用了后台运行，但本身隐蔽性差，对系统和注册表稍微了解的就能轻易发现，属学习级盗窃程序
qeyes 潜伏猎手

监听原理：作者真是费尽心机，其先将主文件qeyes分身改头换面潜伏在系统目录system中，其3个分身分别为：
C:\WINDOWS\SYSTEM\sysreg.exe
C:\WINDOWS\SYSTEM\regservice32.exe
C:\WINDOWS\SYSTEM\rasint.dll
然后在注册表中添加了双保险的开机运行程序
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
regservice "C:\windows\system\regservice32.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
sysreg "C:\windows\system\sysreg.exe"
最可怕的是当系统正常运行后又会自动在system中增加第四个分身netw3c.exe ，同时在注册表同步添加了一个开
机运行项。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
netw3c "C:\windows\system\netw3c.exe"
如果清除时漏掉一个，那么程序又会自动复制全部分身，并重新添加注册表，使你前功尽弃。
启动：开机自动驻留后台运行
外在表现：system目录中增加了4个文件：
C:\WINDOWS\SYSTEM\sysreg.exe
C:\WINDOWS\SYSTEM\regservice32.exe
C:\windows\system\netw3c.exe
C:\WINDOWS\SYSTEM\rasint.dll
其中前三个的图标都是一只眼睛，大小都为370K

对策：重新启动退回纯dos，删除windows中system目录中的sysreg.exe,regservice32.exe,netw3c.exe，
rasint.dll四个文件。然后删除注册表中的
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
regservice "C:\windows\system\regservice32.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
sysreg "C:\windows\system\sysreg.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run netw3c
"C:\windows\system\netw3c.exe"项

上面步骤千万不可颠倒！！因为软件的自我保护性很强，先删注册表无法彻底根除监听程序，在你启动的同时系
统就会自动恢复刚删除项。

综述：尽管作者最终还是跟踪破译了其盗窃原理，但还是为其兔子的手法，狐狸般的特性而叹为观止。这是一
款典型的专家级盗窃程序。

总结：从上面例子不难看出，OICQ密码盗窃程序无非两类：一是外壳程序，如OICQTHIEF，一是后台程序，如
其
他几类。外壳程序隐蔽性差（寄生的外壳程序除外），所以很容易被发现。而后台程序一般都隐藏很好，
而且开机自动运行，所以不易发现，危害性也较大。为了便于识别，现对上述几种程序的特征和判断方法
做一综合总结：

文件判断：
1、进入OICQ目录：出现O.EXE为感染oicqthief盗窃程序
2、进入windows目录中的system目录
出现smaxinte.exe或internat.exe不是问号图标为感染QQ密码侦探
出现QQSPY40.EXE为感染qqspy
出现sysreg.exe或regservice32.exe，netw3c.exe，rasint.dll为感染qeyes 潜伏猎手

注册表判断：运行regedit,进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

默认键是“internat”为感染QQ密码侦探
出现OICQPASS键是感染QQSPY40.EXE
出现regservice或netw3c是感染qeyes潜伏猎手 Re:OICQ号码盗窃程序全接触！

厉害，小心 Re:OICQ号码盗窃程序全接触！

我搞上来是为了让丸子解说的，早上全在搞这个，头疼死了，55~ Re:OICQ号码盗窃程序全接触！

全是初级水平的。小儿科的！我看到有人能进TENCENT的数据库，那才叫高手呢。现在有一些好号码根本就没人在用。他不用此号了，你还偷得了吗？ Re:OICQ号码盗窃程序全接触！

这到是，可是就是因为我们连初级中的初级都够不上才请教的啊！ Re:OICQ号码盗窃程序全接触！

在这方面我也是门外汉。 Re:OICQ号码盗窃程序全接触！

所以要学会保护自己！ Re:OICQ号码盗窃程序全接触！

你真厉害呀。弄得我以后整天的担心。 Re:OICQ号码盗窃程序全接触！

我自己也是啊，我今天看到的太多太多了，我再弄一过来吧1

欢迎光临空网论坛 (http://bbs.kongweb.net/)

作者: ★☆★ 时间: 2002-2-26 14:41