每天在網上轉�,總是關注一些安全方面的信息����。 這不,昨天上網的時候又發現這么個奇妙的東東����。你要是招惹了它���,那么在你不知不覺的時候��,OICQ密碼可能就被泄露出去了。更恐怖是���,它會把密碼發送到網上去,黑客可不用千辛萬苦地到你的機器上搗鼓哦�。今天要介紹的這個東東就是GOP(Get Oicq Password)���。
一����、剖析木馬的使用設置
常言道“知己知彼����,百戰不殆”,要防范GOP的攻擊���,首先就要了解它的運作機理。
最新版的GOP下載解壓縮之后是3個可執行文件加一個說明文檔���,還有一個附帶的圖標。其中gop.exe是服務端(千萬不要在自己的電腦里面運行它�����!)�,editgop.exe是服務端編輯器���,gopslit.exe是個整理發送記錄的工具��。GOP的配置分為四個部分����。
1.一般設置
復制到定義目錄:下拉菜單中可以選擇目錄����、目錄、目錄和源目錄四種之一。這就是木馬的藏身之地。
運行后刪除源文件:畫蛇添足的行為��,連作者自己都推薦不要選上����。(誰不知道運行后莫名其妙就消失的東東是木馬,要是有這種情況發生,嘿嘿,小心�������!)
服務文件名:就是木馬的名字���,可以改任何一個名字��,不容易被發現��。
定義注冊表鍵名:木馬一旦被運行過,就會在注冊表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主鍵之下添加木馬的鍵���,以便今后每次開機時木馬都能夠自動運行。
當記錄數超過××個時開始清理:當GOP記錄文件中的記錄數達到這個××值的時候自動對記錄進行清零��。
2.郵件設置
SMTP:設置郵件發送服務器�����。知道這是干什么用的嗎?當你上網的時候,GOP就會通過這個郵件服務器把你的OICQ密碼發送到網上��!
發送郵箱:這是黑客用來發送郵件的信箱帳號�。國內的免費信箱的提供商大都對SMTP服務器進行了限制,所以需要設置一個合法的郵件賬號來發送信件。
接收信箱:接收GOP發送的密碼記錄文檔的信箱���,受害者密碼的最終目的地。
檢查間隔(秒):設定GOP檢查記錄文檔的時間間隔。如果檢查時記錄已經更新并且在線�����,就馬上發送記錄��。
3.欺騙窗口
(筆者認為該木馬很厲害之處)可以選擇是否在第一次運行GOP的時候彈出一個欺騙窗口�。比方說����,定義一個標題為“警告”,內容為“內存不足!”����,圖標為“嘆號”的欺騙窗口�。這樣在別人第一次運行這個木馬的時候就會彈出定義的那個窗口�,于是在神不知鬼不覺之中木馬已經被植入電腦了。
4.文件捆綁
該木馬自帶文件捆綁工具,真是很恐怖����。以下是它的重要選項:
宿主文件:黑客可以在網上隨便找一個小動畫或者小程序�,把它作為“寄生”的目標���。
文件圖標:如果黑客找一個和系統工具一樣的圖標���,一般的人是不敢刪除的�����。這樣,及時知道有木馬也無法及時清除��。
(好了���,有了GOP���,大家就可以放心的去偷別人的OICQ密碼了����,哈哈哈……啊�!(眾小編皆把手中可扔之物扔了過來�����,“找你來是寫怎么防黑的!”筆者從垃圾堆中爬了出來�,“�����。窟@么回事啊��,怎么不早說�����!)
下面開始講如何對付這個木馬�。因為它很新,不要隨便打開別人發過來的東西����。這是一種非常冒險的行為,這絕不是危言聳聽��!
二���、木馬的檢查
該木馬運行的時候在Windows的任務窗口中是看不到的�����。不要相信Windows的任務窗口——這是筆者的第二個忠告���。
點任務條上的“開始”��、“運行”、“msinfo32”(就是Windows自帶的系統信息��,在“附件”中)����。看其中的軟件環境→正在運行的任務���。這才是Windows現在全部運行的任務。當你在運行了什么東西之后覺得有問題的時候就看看這里��。如果有一個項目有程序名和路徑���,而沒有版本�����、廠商和說明����,你就應該緊張一下了�����。先關掉你的貓(斷網),然后脫機重新登錄一次你的OICQ,查找電腦中是否有record.dat文件(這是GOP記錄OICQ密碼的文檔�����,如果你的OICQ密碼被監控到了就一定會有��。當然�,即使你中了木馬����,在你還沒有用OICQ的時候是不會有這個文件的。反正現在不在網上,不用擔心密碼被發走)。如果有的話,那么“恭喜”你了�����,100%中了木馬���。不信���?用記事本打開那個record.dat��,看看有沒有你的寶貝OICQ的號碼和密碼�����。
三、木馬的清除
慶幸的是,至今為止絕大部分的木馬都是在注冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主鍵下添加一個鍵值來讓木馬自動運行,該木馬也不例外。運行regedit�����,進入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主鍵���,記住那個在系統信息中查到的那個文件(在“剖析木馬的設置”中����,我們知道木馬文件名是可以任意定制的,所以無法確定具體的文件名)的存放路徑,刪除該鍵值����。然后關閉計算機�,稍候一下啟動計算機(注意:不要選重新啟動)�����。然后進入文件的存放路徑刪除木馬文件即可����。
最好的辦法是自己也下載一個GOP���,然后用gopedit打開木馬文件����,會知道和木馬關聯的文件位置,然后刪除��。如果是刪除的文件是系統本身就有的����,還需要再拷貝一個正確的回來。最重要的一點是打開木馬之后可以知道黑客的E-mail地址了(如果不清楚��,請參看上面“剖析木馬的設置”)�。知道這個東東有什么用就看你自己的了。反正騰訊公司說偷竊別人的OICQ是違法的行為����。
