[注意]揭露QQ盗号软件的盗号手法_灌水贴吧_咸丰论坛

楼主回复

7模范市民
发贴数:116
注册时间:2010/10/2
加好友站内信

阅读：1467
回复：3
发表于：2011/8/23 0:29:27
来自：广东

马上注册，结交更多好友，享用更多功能，让你轻松玩转咸丰社区。

还在继续更新的 QQ 盗号软件已经所剩无几，如今。其中最为著名，流传最广的则非 “ 啊拉 QQ 大盗 ” 莫属，目前绝大多数的 qq 号被盗事件都是由这个软件引起的软件的使用条件很简单，只要你有一个支持 smtp 发信的邮箱或者一个支持 asp 脚本的网页空间即可。而且该木马可以将盗取的 QQ 号自动分为靓号和非靓号两种，并将它分别发送到不同的信箱中，这也是啊拉 qq 大盗 ” 如此流行的原因之一。接下来，便让我先来了解一下其工作原理，以便从中找到反击的良方。 1 选择盗号模式

爱保姆 qq.asp 其中 alaqq.ex 啊拉 QQ 大盗 ” 配置顺序，下载 “ 啊拉 QQ 大盗 ” 解压后有两个文件： alaqq.ex 爱永恒。爱永恒，爱保姆 qq.asp 使用 “ 网站收信 ” 模式时需使用的文件。正式使用之前，还需要设置其参数。并进行下文中的测试。此外，邮箱收信 ” 配置：运行 alaqq.ex 出现顺序的配置界面。发信模式选择 ” 选项中选中 “ 邮箱收信 ” 邮箱收信 ” 填写电子邮箱地址（建议使用顺序默认的 163.com 网易的邮箱）这里以邮箱 n12345@163.com 密码 n_12345 为例来介绍 “ 邮箱收信 ” 模式时的配置。收信箱（靓）和 “ 收信箱（普）中可以填入不同的邮箱地址用来接受 QQ 靓号和普通 qq 号。然后在发信服务器 ” 下拉框中选择自己邮箱相应的 smtp 服务器，这里是 smtp.163.com 最后填入发信箱的帐号、密码、全称即可。可以来测试一下填写的内容是否正确，设置完毕后。点击下方 “ 测试邮箱 ” 按钮，顺序将会出现邮箱测试状态。如果测试的项目都显示成功，即可完成邮箱信息配置。

还可以选择 “ 网站收信 ” 模式，网站收信 ” 配置：除了选择 “ 邮箱收信 ” 模式之外。让盗取的 qq 号码自动上传到指定的网站空间。当然，使用之前，也需要做一些准备工作。

爱保姆 qq.asp 上传支持 ASP 脚本的空间，用 FTP 软件将爱永恒。运行 alaqq.ex asp 接口地址 ” 中输入爱永恒，爱保姆 qq.asp 所在 URL 地址，那么，当木马截获 QQ 号码信息后，就会将其保存于爱永恒，爱保姆 qq.asp 同目录下的 qq.txt 文件中。

2 设置木马附加参数 QQ 将会在 60 秒后自动关闭，接下来我进行高级设置。如果勾选 “ 运行后关闭 QQ 对方一旦运行 “ 啊拉 QQ 大盗 ” 生成的木马。当对方再次登录 QQ 后，其 qq 号码和密码会被木马所截获，并发送到盗号者的邮箱或网站空间中。此外，如果希望该木马被用于网吧环境，那就需要勾选 “ 还原精灵自动转存 ” 以便系统重起后仍能运行木马。除这两项外，其他坚持默认即可。3 盗取 qq 号码信息

或者和其他软件捆绑后进行传播。当有人运行相应的文件后，配置完 “ 啊拉 QQ 大盗 ” 点击程序界面中的生成木马 ” 即可生成一个能盗取 qq 号码的木马顺序。可以将该程序伪装成图片、小游戏。木马会隐藏到系统中，当系统中有 qq 登录时，木马便会开始工作，将相关的号码及密码截取，并按照此前的设置，将这些信息发送到邮箱或者网站空间。让木马在系统中无处可逃二、练就慧眼。那么如何才干从系统中发现 “ 啊拉 QQ 大盗 ” 呢？一般来说，现在已经了解了啊拉 qq 大盗 ” 一般流程。如果碰到以下几种情况，那就应该小心了

． qq 自动关闭。．运行某一程序后其自身消失不见。

．运行某一顺序后杀毒软件自动关闭。．访问杀毒软件网站时浏览器被自动关闭。

．安装有网络防火墙（例如天网防火墙）呈现 NTdhcp.ex 访问网络的警告。系统就有可能已经感染了啊拉 qq 大盗 ” 当然，出现上述情况的一种或多种。感染了木马并不可怕，同样可以将其从系统中清除出去。

并在注册表的启动项中加入木马的键值，1 手工查杀木马。发现系统感染了啊拉 QQ 大盗 ” 后我可以手工将其清除。啊拉 qq 大盗 ” 运行后会在系统目录中的 system32 文件夹下生成一个名为 NTdhcp.ex 文件。以便每次系统启动都能运行木马。首先要做的就是运行 “ 任务管理器 ” 结束其中的木马进程 “ NTdhcp.ex 然后打开资源管理器中的文件夹选项 ” 选择其中的检查 ” 标签，将其中 “ 隐藏受保护的操作系统文件 ” 选项前面的勾去掉。接着进入系统目录中的 system32 文件夹，将 NTdhcp.ex 文件删除。最后进入注册表删除 NTdhcp.ex 键值，该键值位于 HKEY_LOCA L_MA CHINE copyright \Softwar \Microsoft \Window \Currentvers \Run 只要下载 “ 啊拉 QQ 大盗 ” 配置顺序，2 卸载木马。卸载 “ 啊拉 qq 大盗 ” 很简单。运行后点击其中的卸载程序 ” 按钮即可将木马完全清除出系统。给盗号者以致命一击三、以退为进。终于把系统中的啊拉 qq 大盗 ” 完全清除，忙乎了半天。那么，面对可恶的盗号者，不是应该给他一个教训呢？

由守转攻 1 利用漏洞。中国黑客武林
相信这种 “ 技术活 ” 并不适合大家。这里只是从盗号软件几乎都存在漏洞入手，这里所谓的攻 ” 并不是直接入侵盗号者的电脑。从而给盗号者一个教训。

那么这个漏洞是什么呢？

而邮箱的帐号和密码都是明文保管在木马顺序中的因此，从此前对 “ 啊拉 qq 大盗 ” 分析中可以看到配置局部填写了收取 qq 号码信息邮件的邮箱帐号和密码。可以从生成的木马顺序中找到盗号者的邮箱帐号和密码。进而轻松控制盗号者的邮箱，让盗号者偷鸡不成反蚀把米。

如果在配置 “ 啊拉 QQ 大盗 ” 过程中选择使用网站接收的方式则不存在该漏洞。提示：以上漏洞仅存在于将 qq 号码信息以邮件发送方式的木马。反夺盗号者邮箱 2 网络嗅探。会将这些信息以电子邮件的形式发送到盗号者的邮箱，当木马截取到 qq 号码和密码后。可以从这里入手，木马发送邮件的过程中将网络数据包截取下来，这个被截获的数据包中就含有盗号者邮箱的帐号和密码。截取数据包时我可以使用一些网络嗅探软件，这些嗅探软件可以很轻松得截取数据包并自动过滤出密码信息。

嗅探能力十分强大，x-sniff 一款命令行下的嗅探工具。尤其适合嗅探数据包中的密码信息。
例如 “ c \ 然后运行 “ 命令提示符 ” 命令提示符 ” 中进入 x-sniff 所在目录，将下载下来的 x-sniff 解压到某个目录中。然后输入命令 “ xsiff.ex

-pass -hide -log
并将嗅探到密码信息保管到同目录下的 pass.log 文件中） pass.log 即可（命令含义：后台运行 x-sniff 从数据包中过滤出密码信息。内容来自就可以正常登录 qq 此时，嗅探软件设置完毕。木马也开始运行起来，但由于我已经运行 x-sniff 木马发出的信息都将被截取。稍等片刻后，进入 x-sniff 所在文件夹，打开 pass.log 便可以发现 x-sniff 已经胜利嗅探到邮箱的帐户和密码。所以我可以使用图形化的嗅探工具来进行嗅探。例如适合新手使用的 sinffer 可能很多朋友对命令行下的东西都有一种恐惧感。
需要装置 WinPcap 驱动，运行 sinffer 之前。否则 sinffer 将不能正常运行。

点击工具栏上的网卡图标，运行 sinffer 首先我需要为 sinffer.ex 指定一块网卡。弹出的窗口中选择自己使用的网卡，点 “ OK 后即可完成配置。确定以上配置后，点击 sinffer 工具栏中的开始 ” 按钮，软件即开始了嗅探工作

[此贴被浮生若梦于2011-8-23 0:31:09编辑过]

分享到：新浪微博腾讯微博微信 QQ好友复制网址

主题: [注意]揭露QQ盗号软件的盗号手法