看危险漫步的博客有半年多了,现在初学者我也写一篇文章为博客做些贡献,呵呵。因为第一次写文章有可能有不对的地方,望大家见谅。
言归正传,今天下午上网。和往常一样登陆oo,竟然QQ提示我登陆异常,一看上次登录地点竟是在上海。心里感觉不好出事了。有人盗我QQ号,回忆了一下近几个月来没有在其他电脑上登陆过我的QQ,只有在自己家登陆过。问题看来就出在了自己家的电脑。上立即进行全盘杀毒360竟然提示未发现威胁,心里想这盗号木马绝对做了免杀。看来只能自己手工寻找了,费了点功夫在i rndows中的system32目录里竟然发现了一个QQ主程序( QQ.exe)。这个太可疑了吧。把它复制到虚拟机里查看一下它的属性其他并没有什么可疑的地放,就是文件大小不对。实际QQ的主程序仅有100多KB,但是这个文件大小为700多KB,这是非常不正常的。下面看来要仔细检查这个文件了。
先给它脱壳,似乎是本人对脱壳操作不熟练的原因,脱壳花费了点时间。不过最后还是成功了,脱完壳打开杀软对其进行杀毒,360一下就把这个文件干掉了。360会杀QQ的程序?(3Q大战时360也没千过这事呀)。看来这绝对是一个盗Q木马,加了QQ的信息和数字签名,还加了一个免杀壳。哎。既然找到你了就不能放过你。检查一下木马里有什么有用的东西吧。
打开C32ASM软件把木马加载进去,打开16进制编辑模式,看看能找到什么有用的信息吧。打开搜索搜索了一下“QQ”。一直耐心的往下翻。突然眼睛放光看到了好东西竟然看到了盗Q软件的收信和发信邮箱,当然还有密码。竟然都是QQ邮箱。呵呵…心里邪恶一下,想到了报复一下盗号者。首先先登录一下这位盗号者的QQ邮箱吧。看到了邮箱里竟然有100多封木马发的QQ信息。一下子我全部删光了,估计盗号者要郁闷了。登陆他的QQ竟然有登陆保护,看来盗号者对自己QQ的安全挺重视的。那我用手机登陆他的QQ就不需要密保了。用手机改了他的昵称,在他的QQ签名上把他臭骂一顿。
到这里这次恶搞盗号者就结束了。现在很多人如果发现了自己电脑上有木马,肯定是进行杀毒,木马清干净了就没事了。其实这这木马里也会有很多你可以利用的信息。你只要认真细心的分析会发现意想不到的东西。