第一现场体验盗与防的对抗——构筑QQ安全堡垒
特别策划
现在有关QQ盗号的问题越来越严重,有的是没有防范的安全意识,有的是因为矛盾或者利益冲突导致QQ号被盗。任何东西只有在丢失的时候才知道它的重要。在本期的《构筑QQ账号安全堡垒》中,你将从第一现场体验到QQ号码是怎么被盗又如何找回和防御的精彩过程。
危险,随时可能在你身边
应同学浪子之邀,黑仔踏进本城最火的“网中人”网吧。看来大雨并没将“网火”浇灭,几十台机器前都泡着人。浪子见到黑仔来了忙上前说:“今天没别的事,就想给你介绍一位朋友。”浪子手往旁边一指,“方莹小姐,我妹妹。”
黑仔一见美女方莹,紧接着一个箭步跨上前,一把将她的手捉住就自我介绍:“黑仔,人送绰号浪里白条。”
方莹被黑仔突然迸发的热情惊了一下,随后便平静如初了,抽了两下被黑仔热情握着的手,没抽出,就索性让他继续握着说了一句:“浪里白条?你除了头发不卷鼻子不塌差不多就是一黑人了。”
浪子接过话头:“那得看你把他放在哪个堆里。在黑客堆里,他就属于比较不黑的。”
“黑客?”方莹暗想,待会看我怎么治你,忽冲黑仔嫣然一笑。
攻击,总是你最薄弱的环节
“网中人”网吧,方莹坐在一个不起眼的角落里,摩挲着还在隐隐作痛的手指,盘算着怎么教训一下那个比煤球白不了多少的“白条”。刚才那家伙被朋友的电话招走,临走前还死磨赖脸地要了她的QQ号。好,就在QQ上弄死他。
方莹知道,要盗取别人的QQ密码,木马是最有效的,而专盗QQ密码的木马工具现在已越来越多,功能也越来越强大,隐藏伎俩越来越高明,让人防不胜防。不过万变不离其宗,其工作原理还是先将木马程序与正常程序、图片文件、Flash文件等进行捆绑,然后用种种招数引诱对方运行或浏览,从而使木马程序驻留对方机器中,并监视QQ的运行,同时记录下键盘动作,最后将记录的信息发送到设定的邮箱或上传到专门的FTP空间。通过对键盘信息进行简单分析,即可从中提取出QQ密码。
在QQ大盗、QQ密码大划拉、QQ屠戮者等知名的QQ盗号工具中,方莹选择了功能最强的《QQ屠戮者》。从网上下载了最新版本的《QQ屠戮者》,运行其客户端程序QQmassacre,弹出配置QQ屠戮者配置界面(图1)。
《QQ屠戮者》在收信方式上采用了邮箱收信和网站收信两种方式,用户可以根据自己的需要选择适合自己的方式,当然也可以同时使用两种方式进行收信。由于方莹没有网络空间,所以就选择邮箱收信这种方式。其设置很简单,跟配置Email接收终端一样。
《QQ屠戮者》程序真正的精华在“安装配置”选项卡(图2)。在“安装路径”项中,可以选择将服务端程序自动释放出的文件安装于Windows文件夹或者System文件夹中。当然,通过“辅助目录”项中,也可以自定义服务端程序的安装文件夹,比如将服务端程序安装到系统的帮助目录中,设置为“\Help”即可。为了能使服务端程序隐藏得更深更不露“马”脚,《QQ屠戮者》采用了当前流行的线程插入技术,将服务端程序以DLL文件的形式插入到QQ程序中,以此来访问网络发送邮件,这样就可以轻易地绕过网络防火墙验证机制。
在“配置服务启动”项中,应将默认的“安装的服务名称”、“服务显示名称”和“安装的服务描述”等项将修改,将它们改为容易与系统服务混淆的名称和描述,避免中马者轻易发觉。对于Win 9x系统,得通过修改注册表来使木马程序自动运行。《QQ屠戮者》提供了三个注册表选项:Run、RunServices和Shell。Run、RunServices这两项比较常见,差不多懂点电脑安全知识的人都要查这两项,于是方莹选择了Shell这项。
小贴士:什么是系统服务?
在Windows 2000、XP、2003系统中,服务是指执行指定系统功能的程序、进程等,以便支持其它程序,尤其是底层程序。它是一种应用程序类型,在系统后台运行,用户一般看不到它。系统服务可以使用服务管理器进行管理。每个系统服务都有自己的服务名、服务显示名、服务描述,这其中服务名是系统服务的唯一标志。
配置完成后,方莹点击“测试发信”按钮,稍等片刻弹出提示框,提示测试信已经发出。登录刚才设置的收取密码信箱,测试邮件赫然在目,看来木马程序可以工作得正常了。于是方莹用“Flash捆绑机”将生成的木马程序和一个用自己靓照做的Flash(exe文件)进行了捆绑,然后就开着QQ静等黑仔找上门来。
方莹正想着,QQ上突然有反应了。定睛一看,方莹心中不禁一阵窃喜:好,鱼上钩了。
方莹先用不瘟不火地用语聊稳住黑仔,看着他热情如火的嘴角荡漾出一圈微笑:这黑小子,死到临头还以为自己风情万种呢。待他再三请求送张照片时,方莹顿了三分钟,才装着极不情愿的样子,说我前不久请人做了一个Flash影集,就发给你吧。注意保密哟。黑仔那个激动哟,语言都无法表达了,连发了几十个表情过来。方莹也乐得不行,心中唱起“十个男人八个傻九个呆”来。
等了十分钟,方莹登录到邮箱中,黑仔QQ的密码已躺在那儿了。
小编提示:一般盗取QQ的表现有如下几种
1. 通过QQ发送给你有恶意代码的网页链接,如果你点击后就会种入网页木马,就有可能被盗取QQ账号和密码。
2. 通过一些网络钓鱼手段骗取你的QQ账号和密码,比如给你一个网页,通知你的QQ中奖,你去访问了那个网页,网页要求你输入自己的账号和密码,用户一旦输入就中招了。
3. 在网吧的机器上种上键盘记录木马,让后面的使用者统统中招。
4. 将木马伪装成一些容易让人去点击的文件,比如把它的名字改为“清纯漂亮的MM”等。然后发给你,让你运行。
补救,就这三招
黑仔正沉浸在虚幻的幸福中,突然接到方莹的一个短信。短信上面是个黑骷髅图案,下面是一句话:“人之将死,其言善否?”黑仔眼前一黑,发昏的头脑倏忽冷了下来:糟了,中美女计了。赶紧上QQ,已不能登录。一会儿方莹又发短信过来:“你的女聊友好多呵,我已为君清除了矣。”
黑仔心中暗自叫苦。自己的QQ一直没申请密码保护,要通过腾讯找回来已不可能。再用相同的手法让方莹上当,估计是一厢情愿。看来只有通过以黑制黑才行。黑仔先打电话给浪子,确认方莹就在网吧里,心里稍稍轻松了一点:只要你在“网中人”,就逃不脱我的反控制。
不过在攻击之前,先得挖出自己电脑中的木马才行。黑仔知道,对付木马之类不外乎“查”、“追”、“杀”三招。“查”就是检查系统是否存在包括盗号程序在内的木马程序,“杀”就是将木马程序尽除之,“追”就是通过数据分析揪住施放者的尾巴,“防”就是补住各种漏洞,做好防范工作。
第一招:查出木马
作为有点道行的黑客,黑仔知道,无论何种木马程序,要想成功地盗取QQ密码,就必然要对键盘输入进行监控,而这就要用到Windows API中的钩子函数。通过钩子函数,相当于在正常的消息处理过程中加入了另外的管道,使得键盘键值可以被记录和存储。既然如此,通过对这些钩子函数的检查,就比较容易确定这类盗号木马程序的存在。当然,不借助专门的工具,要想分析钩子函数比较困难,而《游戏木马检测大师》就是一款对钩子函数进行分析的得力工具。
黑仔下载并运行《游戏木马检测大师》。在主界面上点击“钩子列表”选项卡,系统已安装的各种钩子函数便出现在窗口中。选中钩子函数,然后点击鼠标右键,选择“刷新”菜单,即可对该钩子函数指向的进程进行定位。很明显,系统中已安装了键盘钩子函数(钩子类型为WH_KEYBOARD)。当然,一些系统程序也会使用钩子函数,这就需要对键盘钩子函数作进一步甄别。甄别也不麻烦,因为《游戏木马检测大师》已将可疑的钩子类型都用颜色标记出来(图3),再用“进程名称”等项即可作最终判断。
除了通过钩子函数来进行判断以外,通过对进程的查看也可以查找到盗号木马程序的蛛丝马迹。时常注意系统的运行状况,查看是否存在一些不明的进程正在运行,如果是的话,这些不明进程很有可能就是木马程序,应该及时地将不明进程终止。这里推荐使用《IceSword》这款进程查看工具,这款工具功能很强,不但可以查看到各种隐藏的木马进程,还可以非常方便地终止采用多线程保护技术的木马和病毒进程。
运行《IceSword》,点击“文件”中的“设置”命令,在弹出的窗口中去掉“不显示状态为Deleting的进程”选项,然后确定退出。接着点击程序主界面“查看”列表下的“进程”按钮命令,在右边进程列表中就可以查看到当前系统中所有的进程,隐藏的进程会以红色醒目地标记出来,这样就可以非常方便地查找到系统存在的木马程序。看到没有,你的系统果然存在恶意程序啊。
小贴士:为什么《游戏木马检测大师》不能捕捉数据?
如果通过《游戏木马检测大师》不能正确地捕捉到数据包的话,有两种可能。第一种情况,系统的网卡出现了问题;第二就是系统没有安装或没有正常地安装WinPcap(http://images.ttian.net/2005/08/WinPcap_3_1.zip),现如今的数据包捕捉工具,基本上都需要WinPcap的支持。如果是系统没有安装WinPcap的话,安装了WinPcap后程序就可以进行数据包捕捉了。如果系统已经安装了WinPcap的话,那么先前安装的WinPcap可能有问题,用户最好将老版本进行卸载后重新安装新版本就可以了。
第二招:追回密码
尽管黑仔已知道QQ密码是方莹盗走的,但他还是决定要找到方莹的邮箱,给她点小小的“教训”。
要找到接收QQ密码的邮箱,最简单的方法就是分析网络数据包。还是用《游戏木马检测大师》。黑仔先关闭其它一些会扰乱网络数据捕捉的程序,然后选择“发信检测”选项卡,勾选“只捕获smtp发信端口(25)和Web发信端口(80)”项,接着点击“开始”按钮,之后打开QQ程序,新注册一个号码并登录。再返回到“发信检测”窗口,木马发送的数据已被捕获到。根据信息发送方式的不同,《游戏木马检测大师》捕捉到的数据信息也不尽相同。若施放者是通过信箱接收信息的,捕捉到的就是邮箱、信箱用户名和信箱密码等信息;若是利用网络地址来接收信息的,捕捉到的就是网址信息等。这次黑仔捕捉到的是方莹的邮箱、用户名和密码。
不过邮箱账户和密码是用Base64加过密的,要想得到原文,还得借助Base64解密工具。黑仔下载了解码器,运算一会儿原文就出来了,账户和密码都设置得很简单,估计是方莹临时申请的邮箱。登录进去,果然如此,除了那个密码邮件,什么也没有。这女子真是狡猾的,栽在她手里,做鬼也风流。
小贴士:什么是Base64是编码?
Base64是现今在互联网上应用最多的一种编码,按照RFC2045的定义,Base64被定义为:Base64内容传送编码被设计用来把任意序列的8位字节描述为一种不易被人直接识别的形式。几乎所有的电子邮件软件头把它作为默认的二进制编码,它已经成了现今电子邮件编码的代名词。
第三招,将木马杀掉
下面就该清除木马程序了。先用最简单的办法吧。黑仔先用杀毒程序,然后用专门的木马清除程序,都没把木马清理掉。看来只好手工来清除了。
黑仔知道,要想顺利地将木马程序从系统中清除,首先就要找到木马程序的启动项。只要成功地找到木马的启动项,就可以顺藤摸瓜,将木马程序连根拔掉。可如何查找木马程序的启动项了?黑仔知道,木马程序针对不同的Windows版本,采用了不同的启动方法。虽然通过手工方式可以对系统的启动项逐一进行检测,但通过现成的工具进行检测会更加快捷,黑仔的脑海立即想到了一款名为“System Repair Engineer(SRE)”的系统修复工具。
黑仔立即下载并运行“System Repair Engineer”,在工具栏中点击“启动项目”按钮,“启动项目”项目包括注册表、启动文件夹、Win.ini、System.ini、服务等能够进行随机启动的项目。程序能够自动读取Windows系统所有启动项目的内容时,当工具自动读取到敏感键值的内容存在可疑信息的时候,就会自动地进行报警,显得非常的智能化。尤其是在“服务”选项中,有一项“隐藏微软服务”的选项,勾选后可以将系统自带的服务过滤掉,并将非系统的服务给列举出来(图4)。
通过SRE的检测,黑仔很快从服务选项中查找到木马的启动项,接着通过该服务的“映像文件路径”项目找到这项服务所针对程序的名称和路径,然后记录下这些信息。黑仔在掌握了木马程序的所有信息后,准备开始进行手工清除操作。
他首先关闭了“系统还原”功能,这样做是为了防止该功能将木马程序备份到系统中。接着黑仔删除了木马程序的启动项,然后重启系统,这样木马就不会随机启动了,更加便于清除操作。最后按照刚才的记录,黑仔在系统目录中成功地找到木马程序的文件,并成功地将其清除。虽然已经成功地将木马程序清除,但黑仔并没有放松警惕,因为他听说有的木马程序在安装后还会对系统的“文件关联”进行更改,这样可通过这些文件“借尸还魂”,使用户无法将木马程序彻底地进行清除。不过SRE自带的“系统修复”功能,就可以将关联错误的文件类型进行修复,这样就可以真正做到将木马程序“连根拔起”。不过安装在你的系统中的恶意程序并没有更改文件关联,黑仔感到非常的幸运,不由得唱起“山下的女人是老虎,见了千万要躲开”。
9条锦囊计防QQ号被盗
黑仔:对于QQ号码的保护大家一定要引起足够的重视,一旦你中了敌人的诡计,丢失后,很难找回来。对初级用户来说,首先要申请QQ密码保护,在密码丢失后可以通过密码保护找回来。除此之外,防御工作也非常地重要,下面的9条锦囊计包你万无一失!
锦囊计1 更新系统版本
首先将自己的操作系统更新到最新的版本,比如XP SP2,接着对自己的电脑系统进行检查,对发现的漏洞尽快进行修补,使用Windows系统自带的 Update功能尽快安装上最新的补丁。这样做可以阻断那些利用网页木马来进行各种木马的传播。
锦囊计2 关闭无用的端口
盗号木马在盗取了用户的QQ账号之后,是通过网页或邮件的方式将盗取的账号发送出去的。邮件的发送需要通过SMTP来实现,它属于TCP协议,而大多数邮件服务的SMTP端口都是25,所以我们将端口25进行屏蔽,就关上了木马与外界网络联系之门,同样可以有效地阻止木马盗号情况的发生,为此我们需要关闭电脑上一些不常用的端口。
关闭这些端口不需要特殊的软件,对于Windows2000或XP的用户,我们可以直接利用Windows系统中的TCP/IP过滤功能,通过打开一些常用的端口,比如QQ使用的4000端口,关闭其它所有的端口,从而保证电脑更加安全。
首先在网上邻居上单击右键,选择“属性”命令;在弹出的“网络连接”窗口中选择拨号上网所用的连接,然后点击右键选择“属性”命令;在弹出的属性窗口中选择“常规”标签,接着找到并选择列表中的Internet 协议(TCP/IP),然后点击“属性”按钮;在弹出的Internet 协议(TCP/IP)属性窗口中点击“高级”按钮,打开“高级TCP/IP设置”窗口,选择“选项”标签,双击其中的“TCP/IP筛选”项;在弹出的“TCP/IP筛选”框中,就可以对TCP端口、UDP端口以及IP协议进行筛选配置了(图5)。
勾选“只允许”项,点击“添加”按钮,就可以打开任何想开放的端口或协议,关闭任何无意义的端口了。
如果还在使用Win 9x系统的用户,可以通过使用网络防火墙来屏蔽无用的端口,这里我就通过金山网镖来演示屏蔽25这个端口。
1)运行金山网镖,点击“工具”菜单下的“安全设置”命令,弹出一个“安全设置”窗口。
2)点击“区域级别设置”选项卡,选择其中的“互联网”选项,接着点击“自定义”按钮,弹出的“自定义IP规则编辑器”窗口。
3)点击“添加”按钮,在弹出的“添加IP数据包过滤规则”窗口中进行设置。首先在规则名称和规则描述中设置这条IP规则的名称和描述,接着在对方的IP地址中设置为“任何地址”,并将数据传输方向和数据协议类型设置为“发送数据”和“TCP类型数据包”,然后在对方端口中设置为“25”,最后在满足上述条件时设置为“拦截”即可(图6)。
4)完成设置,点“确定”退出就可以对25端口进行封堵了。
锦囊计3 关闭不必要的系统服务
Windows XP默认在后台运行了很多不同的服务,这些服务中有相当一部分对于我们个人用户来说不但没有作用,而且安全方面也存在很大的隐患。所以适当地禁用一些系统服务不仅可以加快系统的运行速度而且还能起到安全的作用,是非常有必要的。
在“控制面板”中选择“管理工具”中的“服务”项。选择需要禁止的服务,在其上点鼠标右键,选择“属性”命令,打开该项服务的设置窗口,在其中的“启动类型”中选择“禁用”即可。下面是一些可以关闭或者禁用的服务,用户可以有选择地进行禁用:application layer gateway service、automatic updates、clipbook、error reporting service、fast user switching compatibility、imapi cd-burning com service、indexing service、remote registry、smart card、ssdp discovery service、terminal services、uninterruptible power supply等。
锦囊计4 加强系统的安全
首先将账号密码进行重新设置并加强,防止黑客通过破解轻易获得管理员的账号密码。在控制面板中选择“管理工具”中的“计算机管理”项,在其中的“共享文件夹”选项中关闭系统默认的共享功能,这样也可以有效地防范黑客的侵扰。
锦囊计5 更新软件版本
除了更新系统版本以外,软件更新也是不可或缺的,尤其是和网络有关联的软件,或者用安全性较高的软件替代安全性不高的软件。比如最新的QQ2006 SP2版本才能对微软的04-028漏洞进行防范,另外可以用Firefox、Opera、Maxthon等浏览器取代IE浏览器,用Foxmail取代Outlook Express,用MPC取代RealPlayer等。
锦囊计6 使用杀毒软件
安装最新版本的杀毒软件,比如江民、瑞星等,它们都包括注册表监控功能,当有程序向注册表中添加启动项的时候,程序会弹出一个15秒的选择框让你选择“同意修改”或“拒绝修改”。如果不进行选择,15秒后程序就会知道的取消安装。
这样的话,我们就可以认真的考虑该文件是否是恶意程序,进而考虑是否进行安装。另外用户还需要时常更新病毒库,这样可以有效的防范各种盗号木马的入侵。除了功能强大全面的杀毒软件外,还有一些木马专杀软件可供选择,如木马克星、木马清除大师、木马猎手、木马分析专家等。
锦囊计7 使用网络防火墙
安装网络防火墙,对需要连接到网络的程序进行有效的甄别,对那些不熟悉的程序的连接请求一律不予通过。另外像Explorer.exe(资源管理器)和Iexplore.exe(IE浏览器)这两个最容易被木马利用的进程也屏蔽掉(屏蔽后不能使用IE访问外网)。
锦囊计8 密码的设置及保护
QQ账号的密码设置也是极为重要的,为了防范盗号木马,设置密码时应该注意密码设置的复杂性。有许多用户的密码设置得过于简单或有一定的规律,例如采用纯数字的密码、或者设置为自己的生日日期等,这些密码从安全性上来说都是非常不可取的。正确的密码设置方式应该采用数字与字母组合,字母大小写混合,并在密码中加出一些特殊字符,这样才能保证密码的复杂性和安全性。在使用新的QQ 2005版的时候,用户甚至可以使用汉字来作为自己的密码进行使用。另外在键入QQ账号密码时,一般还可以采取乱序输入法或者使用软键盘。Windows XP系统就自带了一款非常漂亮的软键盘。用户在开始菜单中的“运行”命令中输入:osk,就可以弹出一个软键盘的窗口,有兴趣的朋友可以试试。
锦囊计9 建立良好的习惯
建立良好的安全习惯,不要打开一些来历不明的邮件及网页链接,不要到不确定的网页地址浏览及下载文件等。尤其不要为了想迅速提高自己的游戏级别,安装“魔兽世界”的外挂程序,因为这些程序本身就含有游戏木马。