刚才自己下载了一个可以拦截目前QQ所有版本的QQ盗号***生成器:明小子QQ***,
因为现在的QQ防键盘记录已经是做得很不错了,以前传统的方法一般都失效了.所以比较好奇地尝试了一下.发现还真可以正常的拦截到密码.不过也很容易看出破绽:
以下是正常的启动界面:
你会明显地发现字体的不同和界面上一些功能键在鼠标放上去后会有不同的效果.并且我发现输入错误的密码后,***就破功了:
界面变回原来的QQ界面.并且医生被干掉了.也有报警.因为它是利用C:\WINDOWS\system32\SysYH.bak注入到很多进程里进行拦 截QQ的程序启动界面,然后替换成病毒的伪装界面,在输入以后再调用原来的QQ程序进行启动,假如粗心的用户可能就没有发觉.但是因为输入错误的密码,所 以又返回了正常的界面,这就露出了破绽,也是***设计上的一个缺陷.不过用这个办法来饶过QQ的反键盘记录也是满聪明的.至少实现了截获现今所有QQ版本 的密码.
并且这个程序可以被免费下载,有一定的危害.
杀除这个病毒很简单.用一些暴力删除器把C:\WINDOWS\system32\SysYH.bak删除掉以后,再把关于C:\WINDOWS\system32\SysYH.bak的启动项目删除掉就好了.
另外我发现在注入了C:\WINDOWS\system32\SysYH.bak的进程的内存里可以通过定位关键字"HTTP://"或者".ASP"等网址字符可以找到收信的空间地址.
当然也可以定位"@"来找到收信的邮箱地址.关于邮箱密码定位我就不试了.而一般QQ密码记录文件是存在于与ASP文件同一目录下的QQ.TXT文件.
作者比较有良心.没有留后门.
扫描结果 :
| 软件名称 | 引擎版本 | 病毒库版本 | 病毒库时间 | 扫描结果 |
|---|
| a-squared | 3.0.0.123 | 2007.09.02 | 2007-09-02 |
Trojan-PSW.Win32.QQPass.yq
| 4.572 |
| Arcavir | 1.0.4 | 200709020952 | 2007-09-02 |
Trojan.Psw.Qqpass.Yq
| 1.366 |
| AVAST | 1.0.8 | 000772-0 | 2007-09-03 |
Win32:Nilage-AI [Trj]
| 3.043 |
| AVG | 7.5.48.442 | 269.13.3/986 | 2007-09-03 |
Generic6.WAP
| 1.457 |
| BitDefender | 7.60825.825645 | 7.14606 | 2007-09-03 |
DeepScan:Generic.PWStealer.A5F5278C
| 2.987 |
| CA (VET) | 8.4.0.24 | 31.1.5105 | 2007-09-03 |
-
| 1.000 |
| ClamAV | 0.91.1 | 4136 | 2007-09-03 |
-
| 0.458 |
| ewido | 4.0.0.2 | 2007.09.02 | 2007-09-02 |
Trojan.QQPass.yq
| 3.437 |
| F-SECURE | 5.51.6100 | 2007.09.03.02 | 2007-09-03 |
Trojan-PSW.Win32.QQPass.yq
| 2.729 |
| IKARUS | T3.1.1.12 | 2007.09.03.69438 | 2007-09-03 |
Trojan-PWS.Win32.Delf.mc
| 1.368 |
| MKS_VIR | 2.01 | 2007.09.03 | 2007-09-03 |
-
| 1.980 |
| NOD32 | 2.70.8 | 2499 | 2007-09-03 |
probably a variant of Win32/Genetik trojan
| 0.113 |
| nProtect | 2007-09-03.00 | 40260 | 2007-09-03 |
Trojan-PWS/W32.QQPass.50273
| 9.087 |
| QuickHeal | 9.00 | 2007.09.01 | 2007-09-01 |
TrojanPSW.QQPass.yq
| 2.486 |
| SOPHOS | 2.49.1 | 4.21 | 2007-09-03 |
Mal/QQPass-B
| 2.476 |
| VBA32 | 3.12.2.3 | 20070901.0836 | 2007-09-01 |
MalwareScope.Trojan-PSW.Game.7
| 0.772 |
| VirusBuster | 4.3.19:9 | 9.099.15/11.0 | 2007-09-02 |
-
| 1.282 |
| 冰岛杀毒 | 3.16.16 | 2007.09.02 | 2007-09-02 |
W32/Downloader.gen10
| 0.434 |
| 卡巴斯基 | 5.5.10 | 2007.09.03 | 2007-09-03 |
Trojan-PSW.Win32.QQPass.yq
| 0.096 |
| 大蜘蛛 | 4.33 | 2007.09.03 | 2007-09-03 |
Trojan.PWS.Qqpass.1271
| 4.840 |
| 小红伞 | 7.4.1.66 | 6.39.1.79 | 2007-09-03 |
TR/PSW.QQPass.YQ
| 2.285 |
| 江民杀毒 | 10.00.650 | 2007.09.02 | 2007-09-02 |
Trojan/PSW.QQPass.rem
| 0.891 |
| 熊猫卫士 | 9.04.03.0001 | 2007.09.02 | 2007-09-02 |
Suspicious file
| 3.717 |
| 瑞星 | 19.0 | 19.39.02.00 | 2007-09-03 |
Trojan.PSW.Win32.QQPass.tpt
| 2.316 |
| 诺曼 | 5.91.05 | 5.90 | 2007-09-02 |
W32/QQPass.EYV
| 2.781 |
| 赛门铁克 | 1.3.0.24 | 20070902.006 | 2007-09-02 |
-
| 0.276 |
| 趋势 | 8.500-1001 | 4.689.00 | 2007-09-03 |
Possible_Infostl
| 0.074 |
| 迈克菲 | 5.1.00 | 5110 | 2007-08-31 |
PWS-QQGame
| 0.807 |
| 金山毒霸 | 2007.6.20.249 | 2007.9.3 | 2007-09-03 |
Win32.PSWTroj.QQPass.yq.307315
|
转载于:https://blog.51cto.com/yuncx/41597
扫一扫
174
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
