QQ被盗事件揭秘

　　俗话说得好，春困秋乏夏打盹。这不，最近我老是迷迷糊糊的，好不容易熬到了周末，心想终于可以补瞌睡了。但是，一大清早大姐就带着她的上网本冲到了我家，对我嚷道：“起来起来！出怪事了！快来看看我的QQ，我能够正常使用，但密码被盗了！你说这是怎么回事啊……”我强打着精神听完了大姐的话，有些“丈二和尚摸不着头脑”。

　　注：本文仅为技术研究，文中相关软件有技术研究兴趣的读者可在网上搜索下载。

　　假冒的QQ登录窗口

　　经过我的仔细询问，才弄清了缘由。原来昨天有位同事“敲诈”大姐，说他已经偷到了我大姐的QQ密码，如果大姐不想失去这个QQ，就得请他吃一顿开封菜（即KFC）……。所以，今早上大姐过来，就是要我帮她检查一下她的上网本，看看里面有没有被人放入QQ盗号木马。

　　我打开大姐的上网本，先运行《冰刃》软件进行分析，没有发现任何可疑的进程。我再看了一下大姐的QQ版本，是2008版。然后，我双击桌面上的QQ图标运行它，结果吃惊地发现弹出的登录窗口上写着“QQ2009”字样（如图1）！有猫腻！我又点击“QQ密码”字样后面的键盘小图标试了试，点击无效，没有弹出软键盘界面。由此我断定，这个QQ登录窗口是盗号木马模拟出来的“李鬼”。那么，这是什么盗号木马呢？

　　罪魁祸首——“QQ幽灵”

　　接下来，我根据手中掌握的资料，在网上进行了搜索。很快，我就在一个黑客论坛里确认了它是名为“QQ幽灵”的盗号木马。我下载了一个“QQ幽灵”盗号木马放在自己的影子系统中运行，从而搞清楚了它的工作原理。我向大姐讲道：“你看这个‘QQ幽灵’木马，它在感染了你的电脑后，就会悄悄地记录你在登录QQ时输入的号码和密码。然后将其保存在本机中，或通过电子邮件发送给放木马的人，也就是你的那位同事。”说完，我运行了“QQ幽灵”的客户端程序，向还处在疑惑中的大姐进行黑客演示。

　　在打开窗口的“配置邮件接收”标签中，进行电子邮件接收的设置。在“你的发信Email地址”项中输入黑客自己的邮箱地址以及密码（如图2，“邮件标题”自定义，“SMTP发送信服务器”和“你的收信Email地址”这两项程序会自动设置）。点击“测试发信”按钮，以验证设置准确无误。确认没有任何问题以后，点击“生成”按钮就创建了“QQ幽灵”的服务端程序。黑客通过网页挂马等方式，就能把这个服务端程序放到用户的电脑中，这样用户的QQ被盗就是迟早的事了。当服务端程序在盗得用户的QQ号码和密码后，就会把这些信息写在邮件中并发送到黑客指定的邮箱里。

　　除了邮件发送的方式，“QQ幽灵”还能把盗得的号码和密码直接存放在用户电脑的C盘中（在“记录密码在本机”标签中设置即可）。这种方式适用于黑客能亲自接触到用户电脑的环境，譬如大姐的那位同事就能利用工作的机会接触到大姐的上网本。

　　清除盗号木马

　　看懂之后，大姐问我：“那怎么把这个盗号木马从我的上网本中清除掉啊？”我答道：“简单，在你还没运行QQ时，将C:ProgramFilesTencent中的“QQ”目录直接删除就行了。注意这个目录名“QQ”之间有一个空格，可不要把真正的QQ目录删了哟！”大姐哼了一声，说道：“你也太小瞧我了!现在我就去让同事请我吃开封菜，这小子，反了他了！”