剖析木馬的使用設(shè)置

　　你要是招惹了它，那么在你不知不覺的時候，OICQ密碼可能就被泄露出去了，

QQ被盜的內(nèi)幕

。更恐怖是，它會把密碼發(fā)送到網(wǎng)上去， 可不用千辛萬苦地到你的機(jī)器上搗鼓哦。今天要介紹的這個東東就是GOP(Get Oicq Password)。

　　一、剖析木馬的使用設(shè)置

　　常言道知己知彼，百戰(zhàn)不殆，要防范GOP的攻擊，首先就要了解它的運作機(jī)理。

　　最新版的GOP下載解壓縮之后是3個可執(zhí)行文件加一個說明文檔，還有一個附帶的圖標(biāo)。其中g(shù)op.exe是服務(wù)端(千萬不要在自己的電腦里面運行它！)，editgop.exe是服務(wù)端編輯器，gopslit.exe是個整理發(fā)送記錄的工具。GOP的配置分為四個部分。

　　1.一般設(shè)置

　　復(fù)制到定義目錄：下拉菜單中可以選擇目錄、目錄、目錄和源目錄四種之一。這就是木馬的藏身之地。

　　運行后刪除源文件：畫蛇添足的行為，連作者自己都推薦不要選上。(誰不知道運行后莫名其妙就消失的東東是木馬，要是有這種情況發(fā)生，嘿嘿，小心啊！)

　　服務(wù)文件名：就是木馬的名字，可以改任何一個名字，不容易被發(fā)現(xiàn)。

　　定義注冊表鍵名：木馬一旦被運行過，就會在注冊表中HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主鍵之下添加木馬的鍵，以便今后每次開機(jī)時木馬都能夠自動運行。

　　當(dāng)記錄數(shù)超過個時開始清理：當(dāng)GOP記錄文件中的記錄數(shù)達(dá)到這個值的時候自動對記錄進(jìn)行清零。

　　2.郵件設(shè)置

　　SMTP：設(shè)置郵件發(fā)送服務(wù)器。知道這是干什么用的嗎？當(dāng)你上網(wǎng)的時候，GOP就會通過這個郵件服務(wù)器把你的OICQ密碼發(fā)送到網(wǎng)上！

　　發(fā)送郵箱：這是 用來發(fā)送郵件的信箱帳號。國內(nèi)的免費信箱的提供商大都對SMTP服務(wù)器進(jìn)行了限制，所以需要設(shè)置一個合法的郵件賬號來發(fā)送信件。

　　接收信箱：接收GOP發(fā)送的密碼記錄文檔的信箱，受害者密碼的最終目的地。

　　檢查間隔(秒)：設(shè)定GOP檢查記錄文檔的時間間隔。如果檢查時記錄已經(jīng)更新并且在線，就馬上發(fā)送記錄。

　　3.欺騙窗口

　　(筆者認(rèn)為該木馬很厲害之處)可以選擇是否在第一次運行GOP的時候彈出一個欺騙窗口。比方說，定義一個標(biāo)題為警告，內(nèi)容為內(nèi)存不足！，圖標(biāo)為嘆號的欺騙窗口。這樣在別人第一次運行這個木馬的時候就會彈出定義的那個窗口，于是在神不知鬼不覺之中木馬已經(jīng)被植入電腦了。

　　4.文件捆綁

　　該木馬自帶文件捆綁工具，真是很恐怖，

電腦資料

《QQ被盜的內(nèi)幕》(http://www.msguai.com)。以下是它的重要選項：

　　宿主文件： 可以在網(wǎng)上隨便找一個小動畫或者小程序，把它作為寄生的目標(biāo)。

　　文件圖標(biāo)：如果 找一個和系統(tǒng)工具一樣的圖標(biāo)，一般的人是不敢刪除的。這樣，及時知道有木馬也無法及時清除。

　　(好了，有了GOP，大家就可以放心的去偷別人的OICQ密碼了，哈哈哈��！(眾小編皆把手中可扔之物扔了過來，找你來是寫怎么防黑的！筆者從垃圾堆中爬了出來，��？這么回事啊，怎么不早說。)

　　下面開始講如何對付這個木馬。因為它很新，不要隨便打開別人發(fā)過來的東西。這是一種非常冒險的行為，這絕不是危言聳聽！

　　木馬的檢查和清除

　　二、木馬的檢查

　　該木馬運行的時候在Windows的任務(wù)窗口中是看不到的。不要相信Windows的任務(wù)窗口--這是筆者的第二個忠告。

　　點任務(wù)條上的開始、運行、msinfo32(就是Windows自帶的系統(tǒng)信息，在附件中)�？雌渲械能浖�環(huán)境正在運行的任務(wù)。這才是Windows現(xiàn)在全部運行的任務(wù)。當(dāng)你在運行了什么東西之后覺得有問題的時候就看看這里。如果有一個項目有程序名和路徑，而沒有版本、廠商和說明，你就應(yīng)該緊張一下了。先關(guān)掉你的貓(斷網(wǎng))，然后脫機(jī)重新登錄一次你的OICQ，查找電腦中是否有record.dat文件(這是GOP記錄OICQ密碼的文檔，如果你的OICQ密碼被監(jiān)控到了就一定會有。當(dāng)然，即使你中了木馬，在你還沒有用OICQ的時候是不會有這個文件的。反正現(xiàn)在不在網(wǎng)上，不用擔(dān)心密碼被發(fā)走)。如果有的話，那么恭喜你了，100%中了木馬。不信？用記事本打開那個record.dat，看看有沒有你的寶貝OICQ的號碼和密碼。

　　三、木馬的清除

　　慶幸的是，至今為止絕大部分的木馬都是在注冊表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主鍵下添加一個鍵值來讓木馬自動運行，該木馬也不例外。運行regedit，進(jìn)入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主鍵，記住那個在系統(tǒng)信息中查到的那個文件(在剖析木馬的設(shè)置中，我們知道木馬文件名是可以任意定制的，所以無法確定具體的文件名)的存放路徑，刪除該鍵值。然后關(guān)閉計算機(jī)，稍候一下啟動計算機(jī)(注意：不要選重新啟動)。然后進(jìn)入文件的存放路徑刪除木馬文件即可。

　　最好的辦法是自己也下載一個GOP，然后用gopedit打開木馬文件，會知道和木馬關(guān)聯(lián)的文件位置，然后刪除。如果是刪除的文件是系統(tǒng)本身就有的，還需要再拷貝一個正確的回來。最重要的一點是打開木馬之后可以知道 的E-mail地址了(如果不清楚，請參看上面剖析木馬的設(shè)置)。知道這個東東有什么用就看你自己的了。反正騰訊公司說偷竊別人的OICQ是違法的行為。