OICQ黑客工具大曝光──密码篇(二) 陈飞粤 暴风 2001年 11期 #1 魔亦神OICQA    这是一款能绕过你的密码,完全偷看OICQ本地上所有用户的的聊天记录的软件。    运行平台:Win95/98/me/2000    授权方式:免费软件    软件大小:799K    OICQ测试版本:OICQ2000b Build 0115    使用说明:下载解压以后,把解压出来的OICQA.EXE文件复制进你OICQ所在的目录下,接着执行它。这时会出现OICQ的登录界面,你选择好窃看聊天记录的对象号码,随便打一些密码(图1)(^11040502a^),按登录键。这时它会出现密码错误的警告,你按“确定”就可以通过,接着会出现“请你再次输入登录密码”的界面,你选择“取消”就验证进去了(图2)(^11040502b^)。    下载网址:http://www.51299.com/oicq/oicqa.zip    防范办法:在OICQ的“系统参数”选择“安全设置”,在“启动本地消息加密”上打钩,填上你的密码。OK,这个软件就对你没有用武之地了。   #1 GOP    GOP的全称是Get OICQ Password(获取OICQ密码),我想这么一说,大家就明白了它的用处了吧。    下载解压缩后是三个文件EditGOP.exe(21KB,服务器端编辑程序),gop.exe(42KB,服务器端),还有一个说明文档,下载后先要用EditGOP编辑GOP,要不这个木马可没有什么危害呀。   #2 使用说明:    服务器端    直接点击边上的“浏览”按钮,找到你的客户端程序gop.exe的位置,然后打开。由于编辑程序没有“另存”这个选项,所以在编辑之前最好先备份一下客户端程序,以便以后更改(图3)(^11040502c^)。   #2 一般设置    1.复制到定义目录    其中包含四个选项:    目录:运行后GOP将自己复制到Windows根目录里运行,比如: C:\windows 或者 C:\winnt。    目录:运行后GOP将自己复制到Windows的系统目录里运行,比如: C:\windows/system。    目录:运行后GOP将自己复制到Windows的临时目录里运行,比如: C:\temp。    源目录:不做复制,原地运行。    2.运行后删除源文件    3.服务文件名,子文件名    4.定义注册表键名    木马运行后,就会把自己写在注册表中HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run,使计算机每次开机都运行它,用户最好自己改掉。    5.当记录数超过XX个时开始清理   #2 欺骗窗口    1.使用欺骗窗口    打钩选择该项后GOP在第一次运行时将弹出用户自定义的一个窗口,比如告诉对方该软件已过期,需要注册才可以使用,或者说系统资源不足,无法运行等等一大堆理由,起简单欺骗作用,但是当你绑定文件使用的时候最好不要用这项,否则将画蛇添足。    2.编辑窗口内容    包括按钮类型,图标,窗口标题,欺骗信息。    3.测试    你将看到你设置的欺骗窗口的效果,要是不好还可以再调整。   #2 文件绑定    这是个小工具,可以把GOP和你指定的可执行文件连接起来,实现更隐蔽的运行。这个工具十分有用,我们可以经过我们自己的调整,捆绑一些软件放到网上让别人下载,当他们下载运行后,GOP也就已经运行了。    防范办法:至今为止绝大部分的木马都是在注册表的HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run主键下添加一个键值来让木马自动运行,该木马也不例外。运行regedit,进入HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run主键,记住那个在系统信息中查到的那个文件的存放路径,删除该键值。然后关闭计算机,稍后启动计算机(注意:不要选重新启动)。然后进入文件的存放路径删除木马文件即可。    最好的办法是自己也下载一个GOP,然后用gopedit打开木马文件,会知道和木马关联的文件位置,然后删除。如果是删除的文件是系统本身就有的,还需要再拷贝一个正确的回来。最重要的一点是打开木马之后可以知道黑客的E-mail地址了。