computer 版 (精华区)

发信人: neverbw (硬件好难啊，要不要退呢？), 信区: network
标  题: 2001年QQ黑客软件大点兵(2)
发信站: 听涛站 (2001年11月06日10:09:26 星期二), 站内信件

启 动：随系统启动，驻留后台运行
外在表现：windows目录下存在internat.exe和sqwin.ini文件，system目录下internat
.exe长度为196K，同时出现smaxinte.exe文件，长度大约37K。
对 策：删除WINDOWS目录中的internat.exe和sqwin.ini文件，因system中的监听程序正
在运行，所以无法直接删除，可用下列方式进行删除：
1、用内存管理程序移掉内存中的INTERNAT，然后删除system中的INTERNAT.EXE，将sma
xinte.exe改名为internat.exe
2、将INTERNAT.EXE的系统属性改为普通，退到纯DOS下，再删除system中的INTERNAT.E
XE，将 smaxinte.exe改名为internat.exe了解注册表的再删除
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SysTASK
3个相关键
综 述：隐蔽性极强，伪装做的很不错，基本没有明显漏洞，属专业级盗窃程序
qqspy4.01 OICQ 密码监听记录工具4.01
监听原理：将主文件QQSPY40.EXE和库文件oicqhook.dll放入系统目录system中，在注册
表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
键内添加开机运行项： Oicqpass "QQSpy40.exe"从而实现开机后后台运行。
接受邮箱放在注册表[HKEY_CURRENT_USER\Software\Oicq40] "Email"中
启 动：开机自动驻留后台运行
外在表现：windows目录的system目录下出现QQSPY40.EXE和oicqhook.dll
对 策：删除注册表中的
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run OICQPASS
"QQSPY40.EXE" HKEY_CURRENT_USER\Software\Oicq40
重新启动，然后删除system目录中的QQSPY40.EXE和oicqhook.dll

--
当爱情不再完美我宁愿选择无悔不管来生多么美丽我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]