QQ密码杀手之死 李政 2001年 42期 #1一、程序简介   最近,在网上发现一款用Visual Basic(VB)编写的窃取QQ密码的木马程序,仅有48KB。对于使用者和受害者来说,程序都很简单……   下载后的Zip包里有三个文件:readme.txt、oicqpass.exe、xxc.dll。readme.txt中有关于木马程序的简单说明;oicqpass.exe是主程序;xxc.dll用来填写email地址,窃取到的QQ密码将被发送往此邮箱。   QQ密码杀手的使用者在设置好邮箱地址后,即可将oicqpass.exe和xxc.dll作为邮件附件发出,等待着猎物张开嘴来咬oicqpass.exe……受害者咬上诱饵(打开oicqpass.exe附件)之后,系统不会有任何反应,就在受害者困惑地紧皱双眉时,罪恶行动已在幕后悄悄地完成……   #1二、行凶过程   为了仔细研究该木马,特意在自己的电脑上养了一只“QQ密码杀手”,然后,通过工具软件进行分析……其行凶过程如下:   1.主程序被拷入Windows\System文件夹中,并更名为Winserver,名称非常具有隐蔽性,但是该文件的企鹅图标会露出马脚。右键点击该程序,打开属性对话框,再点击版本活页卡,能看到了什么呢?   2.在注册表“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”键下添加默认键,其值为“C:\Windows\Temp\oicqpass.exe”。   3.更改Win.ini文件中的“Windows”项,添加如下命令行:load=C:\Windows\System\winserver.exe。   第2项和第3项作用都一样,相当于上了“双保险”。第2项修改注册表,让隐藏在Windows\Temp目录下的oicqpass.exe随系统启动。如果你发现并删除了注册表中相关键值和程序,自以为高枕无忧时,QQ密码杀手会从第二条更隐蔽的战线向你发起进攻──第3项是通过修改Win.ini文件,让躲藏在Windows\System目录下,并更名换姓的winserver.exe随系统启动!   QQ密码杀手运行后,在系统托盘和任务管理器中(按下“Ctrl+Alt+Del”会弹出的)都看不到(在VB中,只要把Form的Visible属性设为False,ShowInTaskBar设为False,程序就不会出现在任务栏中了;将程序设为“系统服务”可以很轻松的在任务管理器中隐形)。但可以通过如下方式发现正在运行的QQ密码杀手:在开始菜单的运行对话框中输入“msinfo32”(输入时不要引号),在左边的“系统信息”栏中点开“软件环境”,再点击“正在运行的任务”,就可以看到oicqpass.exe进程了!   oicqpass.exe还会生成一个xxc.txt文件,打开一看,里面是我的QQ号、密码和登录时间。   #1三、清除密码杀手   不要随意打开含有oicqpass.exe的附件(名字是可任意改变的),如若不幸打开,可采取以下的步骤清除。    1.搜索注册表,删除与oicqpass.exe有关键值(至少有两个地方)。   2.删除Win.ini文件中的“load=C:\Windows\System\winserver.exe”命令行。   3.重新启动,删除oicqpass.exe、winserver.exe文件。