个人网络安全手册──OICQ安全 斑马多媒体工作室 2001年 22期 OICQ是使用频率非常高的聊天软件,深得大家的宠爱。然而这个软件的安全隐患也不容忽视!每天都有人到腾讯公司投诉自己的密码被盗、聊天时被QICQ炸弹攻击……抛开软件自身的漏洞不谈,更多的是因为我们的防范意识不强,给了黑客可乘之机。下面我们就来看看OICQ中存在的安全隐患。   #11.密码被盗   这种情况大多数因为没有设置密码保护。“密码保护”功能可以保障你的QQ号码更安全,当密码发生问题时,能帮助你方便及快捷取回密码。   #2解决方案:   一定要到腾讯公司网页上申请密码保护。具体使用方法,腾讯主页上有详细的说明,此处不再赘述。申请密码保护的网址:http://service.tencent.com/reg/register.shtml   #12.攻击默认端口   OICQ默认的通讯端口值为:8000,有不少玩家编制的OICQ攻击工具固化的端口值就为:8000(即不能手动修改OICQ的端口值),这样,这些OICQ攻击工具就只能攻击对方的OICQ通讯端口值为8000的用户。你有没有想过,利用修改自己的OICQ通讯端口值的方法来减少被攻击的发生率呢?如果你是一位OICQ高手,那么你就可以自己动手修改OICQ通讯端口值,达到防黑的目的;如果你是一位OICQ的普通用户,修改OICQ通讯端口值对你来说,觉得不太容易,那么我就向你推荐一款不错的OICQ补丁。   #2解决方案:   使用OICQ Patch(^22060103a^1)改变端口,软件下载地址:http://202.103.69.108/winsurf 这款软件可以通过按键更改OICQ的通讯端口值,(建议使用2000-65535的高端端口的数值)。   #13.密码设置   目前还没有什么有效的OICQ密码破解工具呢!以前比较有名的就要算OICQPassOver和OICQ HACK了。密码是黑客和我们之间的必争之地。但是很多网友总是为了自己一时之便,对密码很不在乎。随便用了几个数字或字母,有的朋友甚至用的是“123”、“rose”这样简单的密码。很多专门的软件都可以穷举破解OICQ的密码,使用方便,解码速度快,有的软件每秒钟测试大约2000个密码,这样,一个简单的密码要不了多久就会被穷举出来。   #2解决方案:   根据个人的爱好,但要保证8位以上的混合密码。密码的设置尽量的多元化,最好字母和数字结合起来,长度不低于8位,如果里面含有大小写或者特殊字符,会更安全些。比如:a76h7g7g   #14.密码泄漏   大多数朋友的OICQ密码被盗,发生于公共场所使用电脑的情况下。OICQ的安装目录下有许多以号码为名称的目录,如果你使用后没有删除你的那个目录,它将泄漏你的一切资料。从我们熟悉的资源管理器入手,一切秘密都会在此暴露。在*:\Program Files\OICQ\下(假设他按默认目录安装)你可以看到许多账号。双击进入任意一个账号,可以看到.cfg的文件,那是账号的配置文件,OICQ本地密码几乎是明文存放的,当OICQ设置成自动登录时(就算离开后取消了自动登录,问题依旧),密码只是经过了简单的可逆变形算法就存到一个文件里,可以很容易算出来。现在已经有了现成的工具──OICQ Hacker(http://v7.51.net/tool/oicqhack.c)。更假设当前账号可以自动登录,任何人点OICQ的图标就可以直接登录进入这个号码了,甚至连密码都不用知道,密码已经名存实亡。所以网友们千万不要在网吧内使用自动登录,它是最不安全的。   #2解决方案:   很简单也有效。在网吧下网后,在OICQ目录下删除自己用的账号文件夹。下次使用时选注册向导,选“使用已有的OICQ号码”,再逐步注册就行。记住:每次下网后一定要要删除你自己的账号文件夹。   #15.记录软件和木马   有的人喜欢应用黑客软件在本机下获得你的密码,所以要当心机器内是否有监视程序。比如专门针对OICQ的一些软件。它们都是躲在后台偷偷记录下你键入的字母(当然也就包括你输入的密码),然后保存在*:\log.txt文件内(此路径可以改变的)。如果你看见了这个文件(机会不多),请不要犹豫,删掉吧(最好用一些进程查看软件,先查看是否有一些可疑程序在运行,如有应及时关闭)。   还有一些著名的通用木马,也会记录下你的所有密码,然后悄悄地寄到破解者的电子信箱里,防不胜防。针对这种情况,你应该经常更换你的密码,因为很多黑客是隔一段时间才去取一次密码的,这中间的时间差就使我们可以更换自己的密码,让他们拿到的只是无用的东西。   最近在窃取OICQ密码方面,GOP木马可谓出尽风头。 GOP木马与其它木马不一样,它有一个很大的特色,就是没有客户端,也就是说,黑客不用千辛万苦到你的机器上捣鼓就能轻而易举地得到你的OICQ号及密码,如果你的OICQ还没有受到攻击的话,赶快看看下文吧。   #2GOP木马解决方案:   手工检查机器中是否存在GOP木马。   该木马运行的时候在Windows的任务窗口中是看不到的:   (1)可以点任务条上的“开始→运行→输入“msinfo32”后按“回车”。   (2)点击其中的“软件环境→点击正在运行的任务”。这是Windows现在全部运行的任务。如果在这里有一个项目只有程序名和路径,而没有版本、厂商和说明,你就应该紧张一下了。(对付一般的木马这种方法也有效果的,不过利用现成工具更为简单,Iparmor就是专门针对未知木马,虽然功能简单,但操作极其简便,它的下载地点:http://download.yesky.com/servlet/mydown.yeskydown?tag=7&objID=32858&se=1)   (3)GOP木马在这里显示的版本为:“不能用”。   (4)如果发现GOP木马,应先关掉你的猫(断网),然后脱机重新登录一次你的OICQ,查找电脑中是否有record.dat文件(每个盘都应该查一下),这是GOP记录OICQ密码的文档,如果你的OICQ密码被监控了就一定会有。当然,即使你中了木马,在你还没有用OICQ的时候是不会有这个文件的。如果有的话,那么“恭喜”你了,100%中了木马。   (5)你还可以运行系统配置实用程序(开始→运行→msconfig),在启动栏里,你亦可发现“WindowsAgent”(就是上文提到的“定义注册表键名”,可能会是其它键名)。   #2GOP木马的手工清除与软件清除   (1)运行regedit,进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows   \CurrentVersion\Run主键,记住在系统信息中查到的那个文件,也可在msconfig→启动→名称里找到该木马(在“剖析木马的设置”中,我们知道木马文件名是可以任意定制的,所以无法确定具体的文件名)的存放路径,删除该键值。然后进入文件的存放路径删除木马文件即可。最后关闭计算机。   (2)自己也下载一个GOP,然后用Edit GOP,打开木马文件,会知道和木马关联的文件位置,然后删除。如果删除的文件是系统本身就有的,还需要再拷贝一个正确的回来。最重要的一点是打开木马之后可以知道黑客的E-mail地址了。   (3)因为OICQ是腾讯人发明的,所以,腾讯人也采取了措施,在腾讯公司的主页中的“最新下载”找防木马软件,这里有一个专门清除GOP木马的软件KILLGOP(运行后如^22060103b^2),下载地址:http://download7.tencent.com/download/KillGop.exe   运行后扫描就行了。   #16.udp flood(拒绝服务)攻击   这类攻击是不会发给你任何消息的,但是实际上攻击者和被攻击者双方的流量是很大的。Udp flood这个工具可是随处可见的,使用起来也是非常的简单。^22060103c^3就是这个软件的运行界面(port就是Oicq所开的端口值,默认的是4000):   幸好这种方式最多是让个人用户离线,破坏性并不是很大。   归根结底,我们的太多损失都是由于IP地址被泄露造成的,那么下面让我们来看看怎么样保卫自己的IP地址(当然是尽可能的而已)。   #2解决方案:   方法一:隐藏真实IP     可以用软件或者使用代理服务器,这样你的IP就不容易查到。   首先,打开OICQ的“系统参数→网络设置→选中“使用proxy socket5防火墙”。   然后在“防火墙”、“端口号”、“校验用户名”、“校验用户名密码”处输入你寻找的免费代理地址(代理服务器的地址在很多网站有提供,自己用代理猎手也可以找到很多)。能在OICQ中使用的代理为socks4和socks5型的,端口号为:1080。好了,把IP地址和端口号填入(校验用户名和密码一般不用填),点击“测试”按钮,如果你填入的代理地址有效,则会弹出”代理服务器工作正常“提示框,否则就会弹出”无法连接到代理服务器“的提示。   上述步骤做完之后,最后点击“确定”完成。   特别注意的一点是,按照上述方法找到确实可用的代理服务器后,要先退出OICQ,再启动OICQ重新登录,这样才会改变OICQ的IP,否则OICQ的IP是不会改变的。代理服务器有时候会失效,需要换一个新的服务器。此方法能隐藏OICQ的IP,别人通过一般的OICQ工具是查不到你的真实IP地址。   方法二:安装防火墙   防火墙能防止一些病毒程序、黑客木马程序的入侵以及IP探测和攻击,但是OICQ炸弹大多数遵循TCP/IP协议以正常途径发送,只是数量巨大。这时只有用防火墙封掉可疑的IP地址。