个人网络安全手册──OICQ安全

Author: 斑马多媒体工作室 Date: 2001年 22期

?牐燨ICQ是使用频率非常高的聊天软件,深得大家的宠爱。然而这个软件的安全隐患也不容忽视!每天都有人到腾讯公司投诉自己的密码被盗、聊天时被QICQ炸弹攻击……抛开软件自身的漏洞不谈,更多的是因为我们的防范意识不强,给了黑客可乘之机。下面我们就来看看OICQ中存在的安全隐患。
  #1?牐?1.密码被盗
  ?牐犝庵智榭龃蠖嗍蛭挥猩柚妹苈氡;ぁ!懊苈氡;ぁ惫δ芸梢员U夏愕腝Q号码更安全,当密码发生问题时,能帮助你方便及快捷取回密码。
  #2?牐牻饩龇桨福?
  ?牐犚欢ㄒ教谘豆就成仙昵朊苈氡;ぁ>咛迨褂梅椒ǎ谘吨饕成嫌邢晗傅乃得鳎舜Σ辉僮甘觥I昵朊苈氡;さ耐罚篽ttp://service.tencent.com/reg/register.shtml
  #1?牐?2.攻击默认端口
  ?牐燨ICQ默认的通讯端口值为:8000,有不少玩家编制的OICQ攻击工具固化的端口值就为:8000(即不能手动修改OICQ的端口值),这样,这些OICQ攻击工具就只能攻击对方的OICQ通讯端口值为8000的用户。你有没有想过,利用修改自己的OICQ通讯端口值的方法来减少被攻击的发生率呢?如果你是一位OICQ高手,那么你就可以自己动手修改OICQ通讯端口值,达到防黑的目的;如果你是一位OICQ的普通用户,修改OICQ通讯端口值对你来说,觉得不太容易,那么我就向你推荐一款不错的OICQ补丁。
  #2?牐牻饩龇桨福?
  ?牐犑褂肙ICQ Patch(^22060103a^1)改变端口,软件下载地址:http://202.103.69.108/winsurf 这款软件可以通过按键更改OICQ的通讯端口值,(建议使用2000-65535的高端端口的数值)。
  #1?牐?3.密码设置
  ?牐犇壳盎姑挥惺裁从行У腛ICQ密码破解工具呢!以前比较有名的就要算OICQPassOver和OICQ HACK了。密码是黑客和我们之间的必争之地。但是很多网友总是为了自己一时之便,对密码很不在乎。随便用了几个数字或字母,有的朋友甚至用的是“123”、“rose”这样简单的密码。很多专门的软件都可以穷举破解OICQ的密码,使用方便,解码速度快,有的软件每秒钟测试大约2000个密码,这样,一个简单的密码要不了多久就会被穷举出来。
  #2?牐牻饩龇桨福?
  ?牐牳莞鋈说陌茫V?8位以上的混合密码。密码的设置尽量的多元化,最好字母和数字结合起来,长度不低于8位,如果里面含有大小写或者特殊字符,会更安全些。比如:a76h7g7g
  #1?牐?4.密码泄漏
  ?牐牬蠖嗍笥训腛ICQ密码被盗,发生于公共场所使用电脑的情况下。OICQ的安装目录下有许多以号码为名称的目录,如果你使用后没有删除你的那个目录,它将泄漏你的一切资料。从我们熟悉的资源管理器入手,一切秘密都会在此暴露。在*:\Program Files\OICQ\下(假设他按默认目录安装)你可以看到许多账号。双击进入任意一个账号,可以看到.cfg的文件,那是账号的配置文件,OICQ本地密码几乎是明文存放的,当OICQ设置成自动登录时(就算离开后取消了自动登录,问题依旧),密码只是经过了简单的可逆变形算法就存到一个文件里,可以很容易算出来。现在已经有了现成的工具──OICQ Hacker(http://v7.51.net/tool/oicqhack.c)。更假设当前账号可以自动登录,任何人点OICQ的图标就可以直接登录进入这个号码了,甚至连密码都不用知道,密码已经名存实亡。所以网友们千万不要在网吧内使用自动登录,它是最不安全的。
  #2?牐牻饩龇桨福?
  ?牐牶芗虻ヒ灿行АT谕上峦螅贠ICQ目录下删除自己用的账号文件夹。下次使用时选注册向导,选“使用已有的OICQ号码”,再逐步注册就行。记住:每次下网后一定要要删除你自己的账号文件夹。
  #1?牐?5.记录软件和木马
  ?牐犛械娜讼不队τ煤诳腿砑诒净禄竦媚愕拿苈耄砸毙幕髂谑欠裼屑嗍映绦颉1热缱?门针对OICQ的一些软件。它们都是躲在后台偷偷记录下你键入的字母(当然也就包括你输入的密码),然后保存在*:\log.txt文件内(此路径可以改变的)。如果你看见了这个文件(机会不多),请不要犹豫,删掉吧(最好用一些进程查看软件,先查看是否有一些可疑程序在运行,如有应及时关闭)。
  ?牐牷褂幸恍┲耐ㄓ媚韭恚不峒锹枷履愕乃忻苈耄缓笄那牡丶牡狡平庹叩牡缱有畔淅铮啦皇し馈U攵哉庵智榭觯阌Ω镁8荒愕拿苈耄蛭芏嗪诳褪歉粢欢问奔洳湃ト∫淮蚊苈氲模庵屑涞氖奔洳罹褪刮颐强梢愿蛔约旱拿苈耄盟悄玫降闹皇俏抻玫亩鳌?
  ?牐犠罱谇匀ICQ密码方面,GOP木马可谓出尽风头。 GOP木马与其它木马不一样,它有一个很大的特色,就是没有客户端,也就是说,黑客不用千辛万苦到你的机器上捣鼓就能轻而易举地得到你的OICQ号及密码,如果你的OICQ还没有受到攻击的话,赶快看看下文吧。
  #2?牐燝OP木马解决方案:
  ?牐犑止ぜ觳榛髦惺欠翊嬖贕OP木马。
  ?牐牳媚韭碓诵械氖焙蛟赪indows的任务窗口中是看不到的:
  ?牐牐?1)可以点任务条上的“开始→运行→输入“msinfo32”后按“回车”。
  ?牐牐?2)点击其中的“软件环境→点击正在运行的任务”。这是Windows现在全部运行的任务。如果在这里有一个项目只有程序名和路径,而没有版本、厂商和说明,你就应该紧张一下了。(对付一般的木马这种方法也有效果的,不过利用现成工具更为简单,Iparmor就是专门针对未知木马,虽然功能简单,但操作极其简便,它的下载地点:http://download.yesky.com/servlet/mydown.yeskydown?tag=7&objID=32858&se=1)
  ?牐牐?3)GOP木马在这里显示的版本为:“不能用”。
  ?牐牐?4)如果发现GOP木马,应先关掉你的猫(断网),然后脱机重新登录一次你的OICQ,查找电脑中是否有record.dat文件(每个盘都应该查一下),这是GOP记录OICQ密码的文档,如果你的OICQ密码被监控了就一定会有。当然,即使你中了木马,在你还没有用OICQ的时候是不会有这个文件的。如果有的话,那么“恭喜”你了,100%中了木马。
  ?牐牐?5)你还可以运行系统配置实用程序(开始→运行→msconfig),在启动栏里,你亦可发现“WindowsAgent”(就是上文提到的“定义注册表键名”,可能会是其它键名)。
  #2?牐燝OP木马的手工清除与软件清除
  ?牐牐?1)运行regedit,进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
  ?牐燶CurrentVersion\Run主键,记住在系统信息中查到的那个文件,也可在msconfig→启动→名称里找到该木马(在“剖析木马的设置”中,我们知道木马文件名是可以任意定制的,所以无法确定具体的文件名)的存放路径,删除该键值。然后进入文件的存放路径删除木马文件即可。最后关闭计算机。
  ?牐牐?2)自己也下载一个GOP,然后用Edit GOP,打开木马文件,会知道和木马关联的文件位置,然后删除。如果删除的文件是系统本身就有的,还需要再拷贝一个正确的回来。最重要的一点是打开木马之后可以知道黑客的E-mail地址了。
  ?牐牐?3)因为OICQ是腾讯人发明的,所以,腾讯人也采取了措施,在腾讯公司的主页中的“最新下载”找防木马软件,这里有一个专门清除GOP木马的软件KILLGOP(运行后如^22060103b^2),下载地址:http://download7.tencent.com/download/KillGop.exe 
  ?牐犜诵泻笊?描就行了。
  #1?牐?6.udp flood(拒绝服务)攻击
  ?牐犝饫喙セ魇遣换岱⒏闳魏蜗⒌模鞘导噬瞎セ髡吆捅还セ髡咚降牧髁渴呛艽蟮摹?Udp flood这个工具可是随处可见的,使用起来也是非常的简单。^22060103c^3就是这个软件的运行界面(port就是Oicq所开的端口值,默认的是4000):
  ?牐犘液谜庵址绞阶疃嗍侨酶鋈擞没Ю胂撸苹敌圆⒉皇呛艽蟆?
  ?牐牴楦岬祝颐堑奶嗨鹗Ф际怯捎贗P地址被泄露造成的,那么下面让我们来看看怎么样保卫自己的IP地址(当然是尽可能的而已)。
  #2?牐牻饩龇桨福?
  ?牐牱椒ㄒ唬阂卣媸礗P  
  ?牐牽梢杂萌砑蛘呤褂么矸衿鳎庋愕腎P就不容易查到。
  ?牐犑紫龋蚩狾ICQ的“系统参数→网络设置→选中“使用proxy socket5防火墙”。
  ?牐犎缓笤凇胺阑鹎健薄ⅰ岸丝诤拧薄ⅰ靶Q橛没?名”、“校验用户名密码”处输入你寻找的免费代理地址(代理服务器的地址在很多网站有提供,自己用代理猎手也可以找到很多)。能在OICQ中使用的代理为socks4和socks5型的,端口号为:1080。好了,把IP地址和端口号填入(校验用户名和密码一般不用填),点击“测试”按钮,如果你填入的代理地址有效,则会弹出”代理服务器工作正常“提示框,否则就会弹出”无法连接到代理服务器“的提示。
  ?牐犐鲜霾街枳鐾曛螅詈蟮慊鳌叭范ā蓖瓿伞?
  ?牐犔乇鹱⒁獾囊坏闶牵凑丈鲜龇椒ㄕ业饺肥悼捎玫拇矸衿骱螅韧顺鯫ICQ,再启动OICQ重新登录,这样才会改变OICQ的IP,否则OICQ的IP是不会改变的。代理服务器有时候会失效,需要换一个新的服务器。此方法能隐藏OICQ的IP,别人通过一般的OICQ工具是查不到你的真实IP地址。
  ?牐牱椒ǘ喊沧胺阑鹎?
  ?牐牱阑鹎侥芊乐挂恍┎《境绦颉⒑诳湍韭沓绦虻娜肭忠约癐P探测和攻击,但是OICQ炸弹大多数遵循TCP/IP协议以正常途径发送,只是数量巨大。这时只有用防火墙封掉可疑的IP地址。