局域网有“鬼”
安全阵地
A君是一家IT公司的职员,尽管日常工作非常繁忙,但是他总能见缝插针地利用好业余时间,在单位玩网络游戏。最近A君却怎么也不能登录游戏了,原因当然不是网管封锁了端口,而是“密码不对”,赶紧用申请账号时的邮箱向游戏公司寻求帮助。晕,连邮箱密码也不对了。真是活见鬼了!满头雾水的A君希望得到反黑刀的帮助……
案情分析
内网暗藏杀机
事实上通常由于单位的防火墙等安全防范措施比较牢固,所以真正来自外部的攻击都比较少,相反,大家往往都忽视了来自内网的威胁。一些别有用心的人就是利用了内网“得天独厚”的优势,很容易对其他机器进行破坏和盗取密码。那么A君的密码被盗又属于哪种情况呢?
突击侦破
挖出“内鬼”
反黑刀根据自己丰富的“办案”经验,用近期发生的“大案”特征去一一排除,最后终于在内网机器中搜索到一个名为“pswmonitor”的注册表键值。反黑刀冷冷叹道,内鬼才是最可怕的。A君马上说道,你的意思是我们局域网内的人盗取的?是啊,反黑刀点点头继续说道,pswmonitor是密码监听器的特征键值,密码监听器能够监听基于网页的邮箱密码、POP3收信密码、FTP登录密码、网络游戏密码等,在内网中命中率极高,实在是防不胜防!
密码监听器只须在一台电脑上运行,就可以监听局域网内任意一台电脑登录网页邮箱、使用POP3收信以及其他登录的用户名和密码,并将密码显示、保存,或发送到用户指定的邮箱。不过这还需要进行一些基本的配置!
1. 邮箱设置
下载该软件后(下载地址:http://down1.cnd8.com/www_soft_cnd8_com/soft d1/pswmonitor.zip),运行压缩包中的pswmonitor.exe,打开程序主界面,点击“邮件”选项,在“邮件发送与接收参数”功能区域设置好邮箱以及密码等信息(图1),点击“测试”,如果输入正确则会弹出一个提示框“测试邮件发送成功”。
另外还有一些自动发送监听密码的设置项,用户可以按需设定。
2.其他参数设置
使用该软件可以设置自动保存监听记录。具体操作如下:
点击“保存”选项,勾选“自动保存”,这里你还可以设置自动保存间隔时间,还可以更改自动保存的缺省文件名。设置完毕后,点击“应用”即可(如图2)。
经过以上的设置后,切换到“监听”页面,就可以点击“隐藏”按钮来监听密码了(默认“隐藏/显示”的切换热键为“Ctrl+F9”)。图3为测试监听时截获的信息。
A君听毕,差点冒了一身冷汗,由于在单位局域网中,我一直认为很安全,即使密码被盗,我也怀疑是被黑客攻击了,没想到……
反黑刀支招
拒绝监听
对于这种局域网内的密码监听,我们可以采用以下方法来防范:首先,需要你安装杀毒软件,并升级到最新版本。其次,如果不幸被监听了,那么只要找到安装“密码监听器”的机器,对其注册表做如下修改即可:
打开注册表,依次展开找到如下子键:HKEY_LOCAL_MACHINE\SO FTWARE\Microsoft\Windows\Curren tVersion\Run,删除该子键下的pswmonitor。
同时依次打开HKEY_USERS\S-1-5-21-1935655697-2145990719-1060284298-1003\Software\Microsoft\ Windows\CurrentVersion\Explorer\File Exts\.htm\OpenWithList,将其右侧的pswmonitor删除。最后你还需要打开任务管理器,将pswmonitor进程终止(建议直接在注册表编辑器中搜索pswmonitor关键字并将其删除)。