今天收到网友邮件，强烈推荐我一款最新的QQ密码盗取木马生成器——全能QQ大盗。 我就纳闷呢，这年头怎么有这么多人对这玩意这么感兴趣呢……不管怎么说，盛情难却，就收下这款宝贝，以后用来整整人也好。

    先让我们来看看这款木马的介绍。

    目前为止，最牛X的QQ木马。可以获取用户Q币数量、游戏币数量、QQ积分、QQ游戏点等信息。完美破解QQ2006键盘保护，密码框不会出现红叉叉， 所有版本QQ通杀，包括最新的QQ2006 Beta2。采用特殊的线程插入技术，无启动项，无进程， 突破各类防火墙（如：天网、卡巴、瑞星、金山网镖、江民……）。采用同类QQ木马当中，绝对领先的技术，准确获取QQ密码，绝无偏差。用户登陆成功后再发信，从而杜绝重复发信、密码错误发信情况，不在收取重复信件，提高软件工作效率立即删除自身，让木马不留痕迹。具有定时关闭QQ和防重复运行的功能！下面是截图：

    看的出来，这款密码盗取软件针对目前国内外的主流桌面防火墙软件作出了针对性的改进，且具有很高的隐蔽性，一旦运行了木马的EXE，它就几乎彻底隐藏了自己，就象广告中说的一样，无启动项，无进程。常规的检测工具要检测它具有一定的难度，所以这款木马生成器生成的木马对于普通用户来说具有相当大的杀伤力。

    木马分析

    接下来我们来看看该木马的工作流程：

    木马在获得启动运行后，就会将复制一个备份到C:Program FilesInternet ExplorerPLUGINS，并重命名为qn911.dll(其实这还是一个EXE文件)并将其文件属性设为隐藏和系统然后在C:Program FilesInternet ExplorerPLUGINS释放出qn911.sys(其实这是一个DLL文件)。

    这时候木马会在系统注册表内注册一个CLASSID

    HKCRCLSID

    并将该CLSID和C:Program FilesInternet ExplorerPLUGINSqn911.sys联系在一起。然后将该CLSID添加添加到注册表的ShellExecuteHooks下

    HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

=""

(老鸟这时候就会说了，原来它的无启动项和特殊的线程插入技术就是这么实现的啊…)

Qn911.sys内含有钩子WH_GETMESSAGE。

    在木马下完钩子后，完成盗取QQ密码的准备工作后就创建一个名为MicroSoft.bat的批处理文件，用于删除木马的EXE文件和批处理自身.这样它在系统中就是”无进程”了。

    这里有个插曲，木马的作者会给分析人员一些留言，内容如下:

wodexiaoshihouchaonaorenxingdeshihou

waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang

tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai

    由于我的小学拼音实在不怎么样，而且由于时间关系，所以这个内容留给感兴趣的人来解读吧。(没有标点符号的文章实在很难读啊)。

    这时如果启动QQ，通过ShellExecuteHooks，qn911.sys就会插入到QQ的进程空间中去了。

    等你输入密码后，qn911.sys就会将密码发送到你指定的邮箱中去。

    邮件内容如下：

    对决

    面对如此一个新颖，强悍，隐蔽的对手，终截者能防御吗？毛主席说过：实践是检验真理的唯一标准，那我们就用事实来说话吧。先将QQ加入终截者的密码锁保护列表内：

    启动木马进程，终截者对进程危险程序的判断还是很精准的。

   根据我的使用经验，能让进程防护危险等级框拉到底的绝大多数都是木马病毒等非正常程序了。

    实验需要，我们放过该木马，允许它运行。

    启动QQ运行，并查看其进程模块，可以看到，进程空间内qn911.sys已经无法注入到QQ的进程中去。看来，终截者对ShellExecuteHook方式的线程注入还是有防御手段是非常成功有效的。既然qn911.sys不能注入到QQ进程空间中，那么截取密码当然也就无从谈起了。我们在查看指定接收密码的邮箱，里面自然一无所获。

    就这样一场QQ密码的攻防战就在用户毫不知情的状况中发生和结束了。

    用户唯一的线索大概就要到关闭QQ时，查看详细信息时才能从模块信息列表中看到木马曾经来过的蛛丝马迹。

    乘胜追击

    各位看官看到这，相比结果已经明了了，接下来就是打扫战场的工作了。从前面的木马分析中可以看到，木马残留在系统中有两个文件

    C:Program FilesInternet ExplorerPLUGINSqn911.sys

    C:Program FilesInternet ExplorerPLUGINSqn911.dll

    所以用户要做的事情就是删除这两个文件。但qn911.sys还在其他进程中运行，此时是不能删除的。

    这时候，终截者的另一大特色功能就能派上用处了。

    点击后重启，就运行到一个绝对纯净的环境中(不要将其等同于系统的安全模式)在这里你就能很轻易地删除上述两个木马文件了。至此，木马清理完毕。

    结束语

    这次终截者遭遇的对手是利用ShellExecuteHook技术进行密码盗取的木马。看的出来，终截者的研发人员针对这种技术提供了有效的防御方案，所以才能轻松获胜。据我所知，这在同类软件中能做到的并不多，可以说是寥寥无己。而且终截者的能力远不止于此，那么终截者的下一个对手会是谁呢?

你被盗过QQ吗？我被盗过。而且如果密码保护没有设置，或者是自己忘记了，QQ找回密码非常困难。而QQ对于经常上网的用户来说却非常重要，上面有大量的朋友信息，一旦丢失，费时、费力，还找来很多不必要的麻烦。怎样让自己的QQ不容易被盗呢？今天在ZOL论坛“拒绝浪漫”为我们分享了QQ防盗的五大绝招，和大家分享一下：

    最近，盗QQ的卑鄙小人泛滥！一不小心就会中招！我们要提高自己的安全意识！

    1.要安装好的杀毒软件和好的防火墙！别忘了经常更新啊！（卡巴斯基除了占资源多以外还是不错的，防火墙我一直用天网，除了天网还有好多好的，如blackice……）

    2.最好还要装上扫描木马的软件！（木马清道夫、木马克星等）

    3.注意不要上一些不知名的网站！

    4.在网上下载的东西要注意杀毒，不要轻易的运行！有些垃圾把后门程序绑定在文件里。不要相信网上下载的东西！

    5.及时更新系统，打好补丁！

    注：如果qq提示你：在别处登陆，被迫下线！请马上上线更改密码！最好申请密码保护！

    在公共计算机上登陆qq后，退出时请把自己qq的文件夹删掉！（最好不要在公共计算机使用自己的qq）

    巧妙防止QQ密码被盗的五个绝招：

    第一招：复制粘贴防木马

    每次登录QQ前，新建一个文本文件，并键入密码后复制，关闭文本文件后(不要保存)打开QQ，用“Ctrl+V”把密码粘贴到密码栏里，这样可以防范绝大部分的QQ木马。

    第二招：常换密码保安全

    登录QQ时使用一个密码，使用完毕后在“新口令”栏中输入另一个密码，所以可以准备两个常用的密码，也可以防范大多数的QQ木马。

    第三招：移花巧接木

    如果中了键盘记录机，那么你可以参考这种方法。假如你的QQ密码是“5009”，在输入时不要按顺序一次输入，这样键盘会被木马直接记录下来，你可以先输入“509”，然后把光标移到“5”后面再输入“0”，这样你输入的密码依然是“5009”，但在“木马”看来你输入的就是“5090”，这样密码就被保护了。

    第四招：隐私保护显神通

    隐私保护设置

    可以借助有隐私保护功能的杀毒软件，以KV2004为例。首先应当把“实时监控”中的“隐私保护监视”打上勾。然后点击“工具→选项→实时监控”，点开“隐私保护设置”，弹出“隐私信息设置”窗口，在“检测到秘密信息后处理方式”中选择，“禁止发送私密信息”。

    在选择完处理方式后，就可以单击“增加”按钮选择要保护的信息类型，然后填入相关信息，按“确定”后，个人隐私内容即可得到很好的保护了。

    这样也可以有效保护你的密码。

    第五招：暗战超级密文

    用一个16进制的编辑器，譬如UltraEdit，新建一个10个字节的文件，输入“B92CB92CB92CB92C”，将其保存为Test.txt。如果你用记事本打开这个Test.txt，你什么也看不到，因为这都是不可见的字符，但是可以使用快捷键“Ctrl+A”，将其全部选中，然后“Ctrl+C”复制。这时，剪贴板的内容就可以作为你的密码了，直接在密码栏按“Ctrl+V”，密码就输入进去了。

    看到这里，也许你会问，这也没什么奇怪的地方啊？你再打开写字板，把剪贴板里的内容“Ctrl+V”一下。你看，不一样了吧？你会发现里面出现了4个“？”符号，奇怪吧，不仅在写字板里这样，在Word或WPS以及网页里，都会有同样的效果。明白了吧，如果有人知道了你的“密码找回”并试图使用的话，他会在返回的网页里看见几个“？”符号，错误的认为那就是密码，这样当然是进不去QQ的了。这里笔者只是做一个例子，实际上每一个B92C的组合都会产生一个“？”(真正的“？”符号的ASCLL码是63)，而是要有一个组合就可以起到保密的作用，其余的字节你可以随意填写，这样就不怕你的密码被人偷盗了。