可怕的QQ密码窃取器 袁景涛 2001年 31期 #1●引言   最近网络上,发现一个QQ密码窃取器(文件名为oicqthief),它是用来截取每次QQ启动时使用者输入的号码及密码,并把它们保存到本地,当这些号码及密码达到所指定的数量时,就会自动发送到所指定的邮箱。   #1●程序分析   oicqthief.exe最新是1.5版,它适用于Win95和Win98,但不适合Win2000,可以在QQ的任何版本下运行。经过分析,密码窃取器在运行时,会把QQ的主程序oicq.exe(或QQ2000b.exe、QQ2000.exe等)改名为o.exe,同时把窃取程序oicqthief.exe改名为QQ的主程序名。在QQ的DAT目录中新添加的“psl”文件专门存放登录的QQ号和密码,可用记事本方式打开并查看。在“c:\windows\system”目录中,添加的oicqcfg文件记录有初始程序参数设置,即盗取密码的指定数量,发往邮箱的地址,以及QQ的主程序位置(修改其中的数值可改变初始化设置)。   #1●解决办法   卸载1.5版的密码窃取器,可删除“c:\windows\system”目录中下的oicqcfg文件,同时删除QQ安装目录中的主程序oicq.exe(或QQ2000B.exe、QQ2000.exe),把o.exe改名为oicq.exe(或qq2000b.exe),还要删除DAT目录中的psl文件。   到现在为止,QQ密码窃取器共有四个版本,   1.3和1.31版只能运行在QQ默认安装路径下,即“c:\program files\oicq”目录中,oicqcfg文件放在DAT文件夹中;1.4和1.5版可运行在QQ安装任何目录下,使用更简单,方法更隐蔽,效率更高。卸载方法可参阅1.5版。   #1●防范方法   防范QQ密码窃取器的方法,可以在公众机房安装各类网管软件,禁止非法从网上下载软件。对于开放式的机房,要定期检查QQ安装目录中是否有o.exe文件(如果安装者删除此文件或改名,QQ将无法运行),如果发现,必是中毒无疑,应及早清理。