最佳答案
特鲁伊木马病毒!
这种病毒怎么清除? 特洛伊木马(Trojan horse)
完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可言了。
木马程序不能算是一种病毒,但越来越多的新版的杀毒软件,已开始可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。
特洛伊木马是如何启动的
1. 在Win.ini中启动
在Win.ini的[windows]字段中有启动命令"load="和"run=",在一般情况下 "="后面是空白的,如果有后跟程序,比方说是这个样子:
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,这个file.exe很可能是木马哦。
2.在System.ini中启动
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所,木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!
另外,在System.中的[386Enh]字段,要注意检查在此段内的"driver=路径\程序名"这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这3个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。
3.利用注册表加载运行
如下所示注册表位置都是木马喜好的藏身加载之所,赶快检查一下,有什么程序在其下。
4.在Autoexec.bat和Config.sys中加载运行
请大家注意,在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽。容易被发现,所以在Autoexec.bat和Confings中加载木马程序的并不多见,但也不能因此而掉以轻心。
5.在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Windows自动生成,在执行了Win.com并加截了多数驱动程序之后
开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
6.启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
Folders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
7.*.INI
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。
8.修改文件关联
修改文件关联是木马们常用手段 (主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下TXT文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值,将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开,如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值,将 "C:\WINDOWS\NOTEPAD.EXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l",这样,一旦你双击一个TXT文件,原本应用Notepad打开该文件,现在却变成启动木马程序了,好狠毒哦!请大家注意,不仅仅是TXT文件,其他诸如HTM、EXE、ZIP.COM等都是木马的目标,要小心搂。
对付这类木马,只能经常检查HKEY_C\shell\open\command主键,查看其键值是否正常。
9.捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖源文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马义会安装上去。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
10.反弹端口型木马的主动连接方式
反弹端口型木马我们已经在前面说过了,由于它与一般的木马相反,其服务端 (被控制端)主动与客户端 (控制端)建立连接,并且监听端口一般开在80,所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时,最新的天网防火墙(如我们在第三点中所讲的那样),因此只要留意也可在网络神偷服务端进行主动连接时发现它。
WORM_NUGACHE.G(威金)和TROJ_CLAGGE.B 特洛伊木马(Trojan horse)
的解决方案:
WORM_NUGACHE.G(威金)
病毒码发布日期: Dec 8, 2006
解决方案:
Note: To fully remove all associated malware, perform the clean solution for TROJ_DLOADER.IBZ.
Terminating the Malware Program
This procedure terminates the running malware process.
Open Windows Task Manager.
• On Windows 98 and ME, press
CTRL+ALT+DELETE
• On Windows NT, 2000, XP, and Server 2003, press
CTRL+SHIFT+ESC, then click the Processes tab.
In the list of running programs*, locate the process:
MSTC.EXE
Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your computer.
To check if the malware process has been terminated, close Task Manager, and then open it again.
Close Task Manager.
*NOTE: On computers running Windows 98 and ME, Windows Task Manager may not show certain processes. You can use a third party process viewer such as Process Explorer to terminate the malware process.
On computers running all Windows platforms, if the process you are looking for is not in the list displayed by Task Manager or Process Explorer, continue with the next solution procedure, noting additional instructions. If the malware process is in the list displayed by either Task Manager or Process Explorer, but you are unable to terminate it, restart your computer in safe mode.
Editing the Registry
This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Autostart Entries from the Registry
Removing autostart entries from the registry prevents the malware from executing at startup.
If the registry entry below is not found, the malware may not have executed as of detection. If so, proceed to the succeeding solution set.
Open Registry Editor. Click StartRun, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun
In the right panel, locate and delete the entry:
Microsoft Domain Controller = "%System%\mstc.exe"
(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP and Server 2003.)
Removing Added Key from the Registry
Still in Registry Editor, in the left panel, double-click the following:
HKEY_LOCAL_MACHINESOFTWARE
In the left panel, locate and delete the following key:
GNU
Close Registry Editor.
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
Users running other Windows versions can proceed with the succeeding solution set(s).
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution.
Scan your computer with Trend Micro antivirus and delete files detected as WORM_NUGACHE.G. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner.
Applying Patch
This malware exploits known vulnerability in Windows. Download and install the fix patch supplied by Microsoft. Refrain from using this product until the appropriate patch has been installed. Trend Micro advises users to download critical patches upon release by vendors.
TROJ_CLAGGE.B 特洛伊木马(Trojan horse)
病毒码发布日期: Sep 18, 2006
解决方案:
Identifying the Malware Program
To remove this malware, first identify the malware program.
Scan your computer with your Trend Micro antivirus product.
NOTE the path and file name of all files detected as TROJ_CLAGGE.B.
Trend Micro customers need to download the latest virus pattern file before scanning their computer. Other users can use Housecall, the Trend Micro online virus scanner.
Editing the Registry
This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Malware Entry from the Registry
Open Registry Editor. Click StartRun, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
SharedAccessParametersFiREWaLLpolicyStAnDaRDPrOFiLe
AUtHorizedapplicationsList
In the right panel, locate and delete the entry:
{Malware path and file name} ="{Malware path and file name}:*:ENABLED:0"
Close Registry Editor.
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
Users running other Windows versions can proceed with the succeeding solution set(s).
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution.
Scan your computer with Trend Micro antivirus and delete files detected as TROJ_CLAGGE.B and TROJ_KEYLOG.CO. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner
木马程序属于计算机病毒的一种,但与一般的病毒不同,它一般不会进行自我复制,也并不会“刻意”去感染其他文件。它通常会伪装成程序包、压缩文件、图片、视频等形式,通过短信、网页、邮件等渠道引诱用户下载安装。如您打开了此类木马程序,您的电脑或手机等电子设备便会被编写木马程序的不法分子所控制,从而造成信息文件被修改或窃取、电子账户资金被盗用等危害。例如,目前有不法分子利用伪基站冒充银行发送短信,短信中的链接其实是一个“钓鱼网站”,而下载的客户端实际上是一个木马病毒。不法分子利用木马病毒窃取卡片信息并进行网络购物,同时将发送到客户手机上的短信验证码转移到了自己的手机上,从而完成支付。
为防范上述诈骗行为,保护您的账户资金安全,向您提出以下建议:
1.不法分子能利用“伪基站”冒充任意号码发送短信,因此即使收到中奖、软件推荐等显示为官方号码发送的短信,仍需保持警惕,建议回拨进行确认。
2.木马病毒往往会伪装成其他应用,并通过“钓鱼网站”、短信、图片、邮件、压缩包、聊天软件等方式传播,建议不要随意点击来历不明的应用软件等内容。
3.安装防火墙及杀毒软件,定期杀毒并定期更新系统补丁,保护移动终端安全。
4.下载网银支付类应用要到官方网站进行下载。
5.开通短信通知服务,账户发生异常变化后,及时联系银行,封锁账户或挂失卡片。
木马杀客 V5.31 绿色特别版 Build 10.10.26(病毒库08月07)
木马杀客是原创的反木马工具,软件采用杀毒引擎辨别特征码和传统病毒库辨别。软件可查杀密码偷窃类木马、QQ尾巴类木马、冰河类木马、网游盗号类木马、完全查杀灰鸽子类木马、及各种未知木马、病毒、蠕虫、后门、黑客程序等。木马内置内存监控及注册表监控功能,木马感染内存及修改注册表启动等都将被监控查杀。软件支持在线升级。
其他功能:网络连接状态、启动项目查看及管理、内存监控、软件卸载、注册表备份及修复、右键扫描、灰鸽子专杀。版本不断更新中......
木马杀客 v5.2 Build 0120 绿色特别版+03月25日病毒库
木马杀客下载介绍:经过漫长的测试及完善,木马杀客5.2面世了,新版分别设了电信,网通升级服务器.彻底解决了升级难的问题,解决了对各系统的兼容问题,全盘扫描让你更轻松完成扫描,点内存更小更稳定.增加右键扫描.由于近期灰鸽子木马的横行,故新版附带灰鸽子专杀工具完全查杀所有灰鸽子木马.更加强了对种类变种木马查杀力度.让木马无处遁形.采用剑马新图标,更美观.软件更加易用功能更加贴心,让你在上网冲浪的同时免去了对木马防范的顾虑,让你的机子不再受到木马的威胁..
附带的灰鸽子专杀 可查杀所有灰鸽子木马 已经过严格测试
绝对比木马克星强大。你用过就知道。
木马杀客是一款清除木马软件,软件除了采用传统病毒库查杀木马以外,还能查杀 未知木马,简单快捷的操作方式,快速查找并清除计算机中的木马、黑客程序、后门、蠕虫. 智能杀毒,在线升级,查杀最新的各种QQ,MSN聊天盗号及传奇奇迹等各种网游盗号木马.
QQ病毒专杀工具(QQKav) XP 2006 元旦版 破解版
腾讯QQ自动发消息病毒专杀工具XP最新版,可查杀一切基于sendmess.exe恶意消息发送程序的病毒.修复被病毒修改的注册表,使你远离被动发送消息的苦恼!新增IE恢复、反木马监听功能,让你更安心! 本工具可查杀以下QQ病毒: Trojan.QQMsender.Linmm、Trojan.PSW.Cqzjz、Trojan.dra.a、.Trojan.Qqthief1.7 Trojan.QQ3344、Trojan.Ok530、Trojan.Darksun、Trojan.DonaldDick.135.b Trojan.WebAuto、Trojan.NewSupper.dll、Trojan.PSW.Cqzjz.b、Trojan.Dosh.d Trojan.Sendmess、Trojan.Downloader、Trojan.CmjSpy.16、Trojan.InterBot Trojan.IframeExec、Hack.Glacier.60、Trojan.Roxr45.Server Trojan.Music888.d、Trojan.Nicex、Trojan.Killer3.Svr Trojan.Mmqm、Trojan.WHBoy、Trojan.Hornet.MainSer、Trojan.Hornet.IRC.svr Trojan.CS......以及未知QQ恶意消息发送类病毒、QQ木马程序! QQKav 2005 圣诞版新增:查杀最新“圣诞书虫”(Troj.QQMsgBook.cm)、诡秘下载器变种JX、QQ窃贼、QQ间谍、Win32.Troj.Ranky.aj 、Win32.Troj.QQRob.ca等即时通讯类病毒及木马。增加最新恶意网站关键字8个。防止杀毒工具被病毒关闭!病毒库版本更新为:2005.12.25 运行压缩包的内存注册机keygen文件, 启动软件后,来到注册界面, 当你点击"注册认证"按钮时即可弹出注册码。保存下来。下次运行软件注册即可。此注册码可以长期升级使用。
QQKav 2006 5·17电信日版
安全相关/01病毒防治/QQKAV517.exe
QQKav 2006 5·17电信日版新增: 查杀最新Troj.qqCjb(qq冲击波)、Troj.qqRobber(qq冒牌天神)、Troj.qqMsg.iu(QQHelp变种)、Worm.QQTran(QQ串变种)、Troj.qqMsgBook(书虫变种)、Troj.QQPass.ak(“QQ大盗”变种ak)等即时通讯类病毒及木马,加强对最近流行QQ病毒木马的查杀功能,修复被病毒破坏的注册信息。增加最新恶意网站关键字13个。 病毒库版本更新为:2006.05.17 --2006 5·17世界电信日主题:让全球网络更安全
“灰鸽子”木马病毒
灰鸽子变种木马运行后,会自我复制到Windows目录下,并自行将安装程序删除。修改注册表,将病毒文件注册为服务项实现开机自启。木马程序还会注入所有的进程中,隐藏自我,防止被杀毒软件查杀。自动开启IE浏览器,以便与外界进行通信,侦听黑客指令,在用户不知情的情况下连接黑客指定站点,盗取用户信息、下载其它特定程序。
“特洛伊”木马病毒
特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。一般而言,大多数特洛伊木马都模仿一些正规的远程控制软件的功能,如Symantec的pcAnywhere,但特洛伊木马也有一些明显的特点,例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中,诱使粗心的用户在自己的机器上运行。最常见的情况是,上当的用户要么从不正规的网站下载和运行了带恶意代码的软件,要么不小心点击了带恶意代码的邮件附件。
大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上,诱使用户运行合法软件。只要用户一运行软件,特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常,特洛伊木马的服务器部分都是可以定制的,攻击者可以定制的项目一般包括:服务器运行的IP端口号,程序启动时机,如何发出调用,如何隐身,是否加密。另外,攻击者还可以设置登录服务器的密码、确定通信方式。
“QQ”木马病毒
qq的间谍软件,用来盗取qq号。
通常是通过某种方式隐藏在你的电脑主机里,
在你输入qq密码时,记录并发信息给下木马的人
朋友 到别人QQ首先是不好的行为 再就是如果你真想这么做的话就
1、在线密码破解 大家知道QQ可以利用代理服务器登录,这是一种保护措施。它不仅可以隐藏用户的真实IP地址,以避免遭受网络攻击,还可以加快登录速度,保证登录的稳定性。
在线密码破解和本地密码破解采用的技术方法类似,都是穷举法,只不过前者完全脱离了本地用户使用的QQ。它通过对登录代理服务器进行扫描,只要想盗的QQ号码在线,就可利用在线盗号工具实现远程TCP/IP的追捕,从而神不知鬼不觉地盗取QQ密码!
在线破解改变了本地破解那种被动的破解方式,只要是在线的QQ号码都可以破解,适用范围较广。但是由于它仍然采用穷举法技术,所以在枚举密钥位数长度以及类型时,校验时间很长,破解效率不高。同样,这种方法还受到电脑速度、网速等诸多因素的影响,因此比前面的本地破解更麻烦。
目前功能比较强大的一款QQ密码在线破解软件叫QQExplorer。它的破解操作分四步:第一步,在QQ起始号码和结束号码中填上想要盗取的QQ号码(此号码必须在线);第二步,在“添加或删除HTTP代理服务器”中输入代理服务器的IP地址和端口号码(如果你嫌自己寻找QQ代理服务器麻烦,可以使用一些现代的QQ代理公布软件);第三步,点击“添加测试”按钮,软件先自动检测此服务器是否正常,确定后将它加入代理服务器列表(此软件可填入多个代理服务器的地址,并且能够自动筛选不可用或者速度慢的服务器);第四步,点击“开始”按钮,开始在线密码破解
2、登录窗口破解
伪造QQ登录窗口的盗号方法非常简单,这是一种比较另类的木马破解方法(后面对木马破解有专门讲述)。先用盗号软件生成一个伪装的QQ主程序,它运行后会出现跟腾讯QQ一模一样的登录窗口,只要用户在这个伪登录窗口中登录,输入的QQ号及密码就会被记录下来,并通过电子邮件发送到盗号者指定的油箱中,在此以一款叫“狐Q”的软件为例,首次运行它时,它会把自身复制到QQ目录中,并把原来的QQ.exe文件改名为QQ.com(这样的更改不会影响QQ的正常运行)。设置完毕后,“狐Q”的原程序就会消失,伪装成QQ等待“猎物”上钩在其软件设置中,有一项设置可以决定真假QQ交替运行的次数,可以减少用户在使用QQ时产生的怀疑。比如说将“生效次数”设定为3,那么用户第一次运行的是真QQ了,也就是说在第三次运行时,用户的QQ号便被盗了!在QQ密码发送的过程中,如果发送失败,它还会把QQ号和密码记下来,等待下一次发送。
即时监视QQ登录窗口的盗号方法利用Windows窗口函数、句柄功能实现QQ号和密码的后台截取。此类软件几乎可以捕获Windows下所有标准密码框中的密码,如QQ、Outlook、屏幕保护程序、各种电子邮件客户端、各种游戏账号和上网账号等。捕获后,它也会将密码实时发送到盗号者指定的邮箱中。其代表性的盗号软件是“密码使者”,它几乎可以捕获Windows 9x/2000/XP下所有登录窗口中的密码,并且还能够盗取在网页中登录的各种密码。盗号在使用这款软件时,只须填上用于接收别人QQ密码的邮箱地址及保护密码,并把生成的盗号器文件传过去哄骗别人运行,然后就可以坐等密码上门!此软件与传统的键盘记录器不同,它在电脑每次开机时隐藏自启动,不管密码是用键盘输入的,还是复制、粘贴的,都能够有效地实时拦截!其注册版本居然还带有自动升级的功能,破坏力十分巨大。
3、消息诈骗
孔子曰:上士杀人用笔端,中士杀人用语言,下士杀人用石盘。远程盗取QQ密码还有一种大家最常见也是最简单最有效的方法,那就是利用不少人爱贪小便宜的弱点,进行人为的欺骗!
标题:腾讯关于xxxxx获奖通知
“QQ幸运儿:恭喜!!!您已经成为QQ在线网友齐抽奖的中奖用户。您将获赠精美T恤1件,并有机会得到NOKIA 7110手机1部。腾讯公司(tencent.com)注:奖品是以邮寄方式寄出,请您认真填写以下资料。如果填写错误,将被作为自动放弃获奖机会处理。 QQ号码: 密码: 姓名: E-mail地址: 身份证号码: 通讯地址: 联系电话: 邮编:”
比如我们的QQ经常会收到如下的陌生人消息。
如果你真的如实填写这些资料并傻傻的发送回去,不一会儿QQ密码就被盗了。
还有类似这样的消息:“亲爱的 号QQ用户,恭喜你你已经成为腾讯的幸运号码,腾讯公司送你QQ靓号:12345,密码:54321。请尽快登陆并修改密码,感谢您对腾讯公司的支持!”不少人一看,以为白捡的便宜来了,登录一试还是真的,于是就大大咧咧地笑纳了。但是,很多人为了方便,不管什么东西都爱使用相同的密码,所以当这个QQ号的密码被你改为与自己QQ号相同的密码时,自己QQ号的连同这个赠送的QQ号都得玩完!这是因为,赠送的QQ号已被盗号者申请过密码保护,当你更改密码后他就利用腾讯的密码保护功能把它收了回去,同时也收走你的QQ密码。如果你的QQ没有申请过密码保护,此刻就只能和它永别了。
4、更多的木马破解
“古希腊大军围攻特洛伊城,久攻不破,遂造一大木马藏匿将士于其中,大部队假装撤退而弃木马。城中得知敌退,将木马作战利品拖入城内。午夜时分,匿于木马中的将士开启城门四处纵火,城外伏兵涌入,里应外合,焚屠特洛伊城。”这是古希腊神话《木马屠城记》的故事,其中那只木马被黑客程序借用其名,表“一经潜入,后患无穷”之意。一个完整的木马程序由服务器端和控制端组成。所谓“中了木马”,是指用户的电脑中被安装了木马的服务器端,而拥有控制端的盗号者就通过网络远程控制该电脑,从而轻而易举地盗得该电脑中的QQ密码。
针对QQ的木马程序多不胜数,其中专门盗取QQ密码的也有一大堆,它们被偷偷地安装在用户的电脑中,随电脑启动而自动运行,如果用户使用QQ,那么其账号和密码就会被这些木马记录下来,并发送到木马安装者的邮箱中。前面已经介绍了两款通过登录窗口盗号的QQ木马,下面再介绍两款典型的。
第一款:极品QQ盗号2004
这是“极品QQ盗号”木马的最新版本。它的使用方法跟前面介绍的“密码使者”差不多,先再“设置”栏中填入接收QQ密码的邮箱地址和发送邮件的标题,然后把生成的盗号器偷偷地安装到别人的电脑里这个木马声称可以避过主流的杀毒软件,盗取QQ最新版本的密码,即QQ2004和QQ2004奥运特别版的密码。
第二款:QQ间谍3.0
使用此木马软件时,点击工具条上的“服务端”,按照提示生成服务端程序,然后把它偷偷地传到别人的电脑中,当受害者不小心运行了它,木马就被种上了。这个木马不仅可以盗号,还能悄悄地在后台记录受害者的QQ聊天信息,并下载可执行文件实现远程升级和远程执行脚本程序。另外再注册之后,它还可以直接远程监控对方电脑上的QQ聊天记录。
利用木马软件盗取QQ密码,显然比用前面介绍的那些破解方法更有效率!不仅节省时间,而且成功率也高。但是,如何把木马程序的服务器端安装在用户的电脑中,这是一个费心思的事儿。另外,很多功能强大的木马程序都是需要花钱注册,才能使用其全部功能。因此,对于那些水平参差不齐的盗号者而言,要想玩转木马程序,还得费点劲。
主动出击 教你夺回被人盗走的QQ号
随着网络的普及,如今很多朋友最重要的交流方式都是QQ,但是QQ安全是一个大家都非常关心的话题,盗取QQ号的工具也是层出不穷,随着近年来大家安全意识的提高,大家对QQ安全有了一定的重视,但是所谓黑客借助一些工具盗取QQ号同样是非常容易的事,下面就来看看黑客是如何利用工具软件结合邮箱轻松盗取他人的QQ号码的,以便我们更加有效地防范!
一、QQ密码发送者
该软件使用比较简单,你需要具有一定的“欺骗”能力,要想成功,最关键的在于如何想方设法让对方接收并运行你的木马,然后你就可以“坐收渔利”了!
下载并解压该软件,运行其中的可执行文件,运行窗口如图1。
在此窗口中,你只要输入一个有效的邮箱,然后点击“生成QQ木马”按钮即可生成一个木马,如图2。
接下来就是把该木马发送给对方,要能让对方运行,你需要将改木马改名,比如改名为“我的FLASH”、“XX软件”等,只要能让对方信任你并点击运行该木马即可!
一旦对方运行了该软件,并再次登陆QQ,那么对方的QQ号码、密码以及对方机器IP等信息都会通过邮件发送到你设置好的邮箱,你就等着查看自己的“战功”吧,如图3。
提示:
该软件非常适合在网吧内使用,只要你在别的机器上配置好该软件,然后换一台机器上网,一旦别人用那台机器登陆QQ,当然是把他的QQ拱手相送了!
二、无敌QQ密码盗取器
该软件是一个后台监控类的盗取QQ的软件,同样需要邮箱配合使用,具体设置比较简单。
运行该软件,配置窗口如图4。
在该窗口中,你需要设置好的所使用邮箱的SMTP服务器地址及用户名和密码,为了保证信件能正常接收,设置完毕后最好点击“测试”按钮进行测试。
提示:
邮件标题不填则将以QQ号码为标题,另外,最好把“发送多少个号码”设置小点,这个功能很有用,一旦程序发送邮件的数目达到了这个数的时候就不再发送了,否则可能导致你的信箱被撑破。
三、用QQ破密使者盗取QQ
QQ破密使者是一个本地破解QQ密码的黑客工具,你可以选择字典暴力破解本地QQ密码,速度极快,并可自己设定延迟时间,下面看看具体的使用方法。
下载该软件并解压,其中“QQPW_Crack8”是安装程序,里面还有一个“破解字典”文件夹(图5),这是破解QQ密码所要用到的字典文件,里面有4个字典文件,当然你也可以自己制作一个字典工自己使用。安装完该软件后,就可以实践一下该软件的威力了!
首先运行该软件,软件主界面如图6所示。
首先你需要配置“QQ路径”,点击“浏览”按钮找到QQ的主程序,“QQ号码”一栏中自动会显示用本机登陆的QQ号码,你只要选择其中一个即可,然后需要设置“字典路径”,点击后面的“浏览”按钮,找到字典文件所在位置,比如C:\WINDOWS\Desktop\新建文件夹\QQ破密使者\破解字典\dictionary1.txt,如图7。
设置好字典文件后,你还可以设置延迟时间,然后你就可以点击“开始破解”进行破解了!该软件会用字典文件中的密码一一尝试,破解过程如图8。
提示:破解速度跟你的电脑速度有关,在破解过程中不要打开别的什么程序以免影响破解速度!这种方法非常适合于在网吧盗取别人的QQ号!
四、轻松偷窥QQ2004聊天记录
随着QQ2004Beta的推出,广大“Q友”们又一次体验了新版本带给大家的惊喜,那么QQ2004Beta在安全性方面又怎么样呢?针对QQ2004Beta 推出的“QQ2004Beta免密码登陆器”也许同样会带给你一个“惊喜”!
使用“QQ2004Beta免密码登陆器”后,输入任意密码即可登陆QQ,这样你就可以偷窥他人的好友资料及聊天记录啦!注意该软件只适用于最新版本的QQ2004Beta。
下载并解压该软件后,必须将其中的“cr-QQ2004Beta(7.13).exe”拷贝到你的QQ2004Beta安装目录,通常为“C:\Program Files\Tencent\qq”,否则直接运行该软件会出现找不到QQ.exe文件的提示!
运行QQ2004Beta安装目录下的“cr-QQ2004Beta(7.13).exe”文件,弹出窗口如图9所示。
点击“确定”按钮后弹出QQ正常的登陆界面,如图10。
这里你随便输入一个密码,然后点击“登录”即可登陆,但这时会弹出一个“请再次输入登录密码”的提示框,不要管它,但是千万不要点击“取消”,否则就QQ就自动关闭了,如图11。
这时QQ就离线登陆了,你可以查看他人的好友资料及聊天记录。需要注意的是:这样登陆的QQ聊天窗口是不能打开的,所以要查看聊天记录和好友资料,必须依次点击“菜单”→“好友与资料”→“消息管理器”才行,或者你在QQ主界面上用鼠标右击某个好友,然后选择“聊天记录”或者“查看资料”选项。
主动出击 教你夺回被人盗走的QQ号码
很多朋友都有过QQ号被盗的经历,即使用“密码保护”功能找回来后,里面的Q币也已经被盗号者洗劫一空,碰到更恶毒的盗号者,还会将你的好友统统删除,朋友们将会永远得离开你。想过反击吗?什么,反击?别开玩笑了,我们只是菜鸟,不是黑客,我们只会看看网页,聊聊天,连QQ号是怎么被盗的都不知道,还能把盗号者怎么样呢?其实喜欢盗号的所谓“黑客”们,也只是利用了一些现成的盗号工具,只要我们了解了QQ号被盗的过程,就能作出相应防范,甚至由守转攻,给盗号者以致命一击。
一、知己知彼,盗号技术不再神秘
如今,还在持续更新的QQ盗号软件已经所剩无几,其中最为著名,流传最广的则非“啊拉QQ大盗”莫属,目前绝大多数的QQ号被盗事件都是由这个软件引起的。软件的使用条件很简单,只要你有一个支持smtp发信的邮箱或者一个支持asp脚本的网页空间即可。而且该木马可以将盗取的QQ号自动分为靓号和非靓号两种,并将它们分别发送到不同的信箱中,这也是“啊拉QQ大盗”如此流行的原因之一。接下来,便让我们先来了解一下其工作原理,以便从中找到反击的良方。
1、选择盗号模式
下载“啊拉QQ大盗”,解压后有两个文件:alaqq.exe、爱永恒,爱保姆qq.asp。其中alaqq.exe是“啊拉QQ大盗”的配置程序,爱永恒,爱保姆qq.asp是使用“网站收信”模式时需使用的文件。正式使用之前,还需要设置其参数。
“邮箱收信”配置:运行alaqq.exe,出现程序的配置界面。在“发信模式选择”选项中选中“邮箱收信”,在“邮箱收信”填写电子邮箱地址(建议使用程序默认的163.com网易的邮箱)。这里以邮箱n12345@163.com(密码n_12345)为例来介绍“邮箱收信”模式时的配置,并进行下文中的测试。此外,在“收信箱(靓)”和“收信箱(普)”中可以填入不同的邮箱地址用来接受QQ靓号和普通QQ号。然后在“发信服务器”下拉框中选择自己邮箱相应的smtp服务器,这里是smtp.163.com。最后填入发信箱的帐号、密码、全称即可。
设置完毕后,我们可以来测试一下填写的内容是否正确,点击下方“测试邮箱”按钮,程序将会出现邮箱测试状态。如果测试的项目都显示成功,即可完成邮箱信息配置。
“网站收信”配置:除了选择“邮箱收信”模式之外,我们还可以选择“网站收信”模式,让盗取的QQ号码自动上传到指定的网站空间。当然,在使用之前,也需要做一些准备工作。
用FTP软件将爱永恒,爱保姆qq.asp上传支持ASP脚本的空间,运行alaqq.exe,在“Asp接口地址”中输入爱永恒,爱保姆qq.asp所在的URL地址,那么,当木马截获QQ号码信息后,就会将其保存于爱永恒,爱保姆qq.asp同目录下的qq.txt文件中。
2、设置木马附加参数
接下来我们进行高级设置。如果勾选“运行后关闭QQ”,对方一旦运行“啊拉QQ大盗”生成的木马,QQ将会在60秒后自动关闭,当对方再次登录QQ后,其QQ号码和密码会被木马所截获,并发送到盗号者的邮箱或网站空间中。此外,如果希望该木马被用于网吧环境,那就需要勾选“还原精灵自动转存”,以便系统重起后仍能运行木马。除这两项外,其他保持默认即可。
3、盗取QQ号码信息
配置完“啊拉QQ大盗”,点击程序界面中的“生成木马”,即可生成一个能盗取QQ号码的木马程序。我们可以将该程序伪装成图片、小游戏,或者和其他软件捆绑后进行传播。当有人运行相应的文件后,木马会隐藏到系统中,当系统中有QQ登录时,木马便会开始工作,将相关的号码及密码截取,并按照此前的设置,将这些信息发送到邮箱或者网站空间。
二、练就慧眼,让木马在系统中无处可逃
现在,我们已经了解了“啊拉QQ大盗”的一般流程,那么如何才能从系统中发现“啊拉QQ大盗”呢?一般来说,如果碰到了以下几种情况,那就应该小心了。
·QQ自动关闭。
·运行某一程序后其自身消失不见。
·运行某一程序后杀毒软件自动关闭。
·访问杀毒软件网站时浏览器被自动关闭。
·如果杀毒软件有邮件监控功能的,出现程序发送邮件的警告框。
·安装有网络防火墙(例如天网防火墙),出现NTdhcp.exe访问网络的警告。
出现上述情况的一种或多种,系统就有可能已经感染了“啊拉QQ大盗”。当然,感染了木马并不可怕,我们同样可以将其从系统中清除出去。
1、手工查杀木马。发现系统感染了“啊拉QQ大盗”后我们可以手工将其清除。“啊拉QQ大盗”运行后会在系统目录中的system32文件夹下生成一个名为NTdhcp.exe的文件,并在注册表的启动项中加入木马的键值,以便每次系统启动都能运行木马。我们首先要做的就是运行“任务管理器”,结束其中的木马进程“NTdhcp.exe”。然后打开资源管理器中的“文件夹选项”,选择其中的“查看”标签,将其中“隐藏受保护的操作系统文件”选项前面的勾去掉。接着进入系统目录中的system32文件夹,将NTdhcp.exe文件删除。最后进入注册表删除NTdhcp.exe键值,该键值位于HKEY_LOCAL_MACHINE\Software \Microsoft \Windows \Currentversion \Run。
2、卸载木马。卸载“啊拉QQ大盗”很简单,只要下载“啊拉QQ大盗”的配置程序,运行后点击其中的“卸载程序”按钮即可将木马完全清除出系统。
三、以退为进,给盗号者以致命一击
忙乎了半天,终于把系统中的“啊拉QQ大盗”彻底清除,那么,面对可恶的盗号者,我们是不是应该给他一个教训呢?
1、利用漏洞,由守转攻
这里所谓的“攻”,并不是直接入侵盗号者的电脑,相信这种“技术活”并不适合大家。这里只是从盗号软件几乎都存在的漏洞入手,从而给盗号者一个教训。
那么这个漏洞是什么呢?
从此前对“啊拉QQ大盗”的分析中可以看到,配置部分填写了收取QQ号码信息邮件的邮箱帐号和密码,而邮箱的帐号和密码都是明文保存在木马程序中的。因此,我们可以从生成的木马程序中找到盗号者的邮箱帐号和密码。进而轻松控制盗号者的邮箱,让盗号者偷鸡不成反蚀把米。
提示:以上漏洞仅存在于将QQ号码信息以邮件发送方式的木马,如果在配置“啊拉QQ大盗”的过程中选择使用网站接收的方式则不存在该漏洞。
2、网络嗅探,反夺盗号者邮箱
当木马截取到QQ号码和密码后,会将这些信息以电子邮件的形式发送到盗号者的邮箱,我们可以从这里入手,在木马发送邮件的过程中将网络数据包截取下来,这个被截获的数据包中就含有盗号者邮箱的帐号和密码。截取数据包时我们可以使用一些网络嗅探软件,这些嗅探软件可以很轻松得截取数据包并自动过滤出密码信息。
·x-sniff
x-sniff是一款命令行下的嗅探工具,嗅探能力十分强大,尤其适合嗅探数据包中的密码信息。
将下载下来的x-sniff解压到某个目录中,例如“c:\”,然后运行“命令提示符”,在“命令提示符”中进入x-sniff所在的目录,然后输入命令“xsiff.exe
-pass -hide -log
pass.log”即可(命令含义:在后台运行x-sniff,从数据包中过滤出密码信息,并将嗅探到的密码信息保存到同目录下的pass.log文件中)。
嗅探软件设置完毕,我们就可以正常登录QQ。此时,木马也开始运行起来,但由于我们已经运行x-sniff,木马发出的信息都将被截取。稍等片刻后,进入x-sniff所在的文件夹,打开pass.log,便可以发现x-sniff已经成功嗅探到邮箱的帐户和密码。
·sinffer
可能很多朋友对命令行下的东西都有一种恐惧感,所以我们可以使用图形化的嗅探工具来进行嗅探。例如适合新手使用的sinffer。
运行sinffer之前,我们需要安装WinPcap驱动,否则sinffer将不能正常运行。
运行sinffer。首先我们需要为sinffer.exe指定一块网卡,点击工具栏上的网卡图标,在弹出的窗口中选择自己使用的网卡,点“OK”后即可完成配置。确定以上配置后,点击sinffer工具栏中的“开始”按钮,软件即开始了嗅探工作。
接下来,我们正常登陆QQ,如果嗅探成功,就会在sinffer的界面中出现捕获的数据包,其中邮箱帐号密码信息被很清晰得罗列了出来。
得到盗号者的邮箱帐号和密码以后,我们可以将其中的QQ号码信息邮件全部删除,或者修改他的邮箱密码,给盗号者一个教训,让我们菜鸟也正义一把。
如果你看到最后你会看到这句话的:小心这些软件,里面有毒的。
剧情吧工夫 : 二0 一 三-0 七- 一 二 一 五: 二 八: 四 五 冲上云霄 二第 一散剧情先容 亦琛回显 英国餐馆 下志宏成为副机少并转任Skylette,并战嫩同伙 唐亦风一路 拍档飞往伦敦,此次 也是志宏正在Skylette的第一次航行 。正在年夜 楼中志宏战亦风谋面...
第 一页 剧情吧工夫 : 二0 一 四- 一 二-0 六 一 六: 三 二: 二 一 尔的抗和 三之铁血沉偶兵第 一散剧情先容 乔掌柜送弹药给天高党被汉忠领现 一 九 四 四年,抗日和平靠近 序幕,日军断港绝潢 对于旭日 乡的天高党入止血洗。 乔掌柜负责输送 一批兵器 给天...
《魂魄 功男父》受到宅男冷捧 奥秘团队赞助 鹏飞姐入军文娱圈 二0 一 六/ 一0/ 四 一 四:0 二: 一 一 做者:W 二-zhuxi…起源 :伊秀文娱网收集 红人腾讯“鹏飞姐”的尾秀《魂魄 功男父》是一部异常 偶幻的片子 ,讲述了实际 版鹏飞姐单重魂魄 的奥妙 小说,该片子 遭到很多 宅男...
班车英文(年夜 巴的英语怎么说)本创VixueTalk英语白话 二0 二0-0 七-0 七 二 二: 二 一: 三 四 ViTalk英语白话 民间头条号本创文章,已经许可 请勿转载、两次修正 或者截与片断 窃用,违权必究。 机场中转酒店的年夜 巴车(...班车英文(年夜 巴的英语怎么说)本创Vi...
如许 当地 便依照 孬了一个tp 五的框架了。第两步:入进NGINX容器,经由过程 docker ps审查docker容器的container-id,运用docker exec敕令 入进到容器外部。 一 二 三 四 五 六 七 八ert@ertiaodeMac-mini ~/develop/en...
情形 一:最初一次提接且已push执止如下敕令 :git co妹妹it --amendgit会挨谢$EDITOR编纂 器,它会添载此次 提接的日记 ,如许 咱们便否以正在下面编纂 ,编纂 后保留 即实现此次的修正 。情形 两:最初一次提接且未push到办事 器执止如下敕令 :git co妹妹it -...