深入揭祕真相:為什麼我的QQ會被盜走

你要是招惹了它，那麼在你不知不覺的時候，OICQ密碼可能就被泄露出去了。更恐怖是，它會把密碼發送到網上去，黑客可不用千辛萬苦地到你的機器上搗鼓哦。今天要介紹的這個東東就是GOP(Get Oicq Password)。

　　一、剖析木馬的使用設置

　　常言道“知己知彼，百戰不殆”，要防範GOP的攻擊，首先就要了解它的運作機理。

　　最新版的GOP下載解壓縮之後是3個可執行文件加一個説明文檔，還有一個附帶的圖標。其中是服務端(千萬不要在自己的電腦裏面運行它！)，是服務端編輯器，是個整理髮送記錄的工具。GOP的配置分為四個部分。

　　1.一般設置

　　複製到定義目錄：下拉菜單中可以選擇目錄、目錄、目錄和源目錄四種之一。這就是木馬的藏身之地。

　　運行後刪除源文件：畫蛇添足的行為，連作者自己都推薦不要選上。(誰不知道運行後莫名其妙就消失的東東是木馬，要是有這種情況發生，嘿嘿，小心啊！)

　　服務文件名：就是木馬的名字，可以改任何一個名字，不容易被發現。

　　定義註冊表鍵名：木馬一旦被運行過，就會在註冊表中HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主鍵之下添加木馬的鍵，以便今後每次開機時木馬都能夠自動運行。

　　當記錄數超過××個時開始清理：當GOP記錄文件中的記錄數達到這個××值的時候自動對記錄進行清零。

　　2.郵件設置

　　SMTP：設置郵件發送服務器。知道這是幹什麼用的嗎？當你上網的時候，GOP就會通過這個郵件服務器把你的OICQ密碼發送到網上！

　　發送郵箱：這是黑客用來發送郵件的信箱帳號。國內的免費信箱的提供商大都對SMTP服務器進行了限制，所以需要設置一個合法的郵件賬號來發送信件。

　　接收信箱：接收GOP發送的密碼記錄文檔的信箱，受害者密碼的最終目的地。

　　檢查間隔(秒)：設定GOP檢查記錄文檔的時間間隔。如果檢查時記錄已經更新並且在線，就馬上發送記錄。

　　3.欺騙窗口

　　(筆者認為該木馬很厲害之處)可以選擇是否在第一次運行GOP的時候彈出一個欺騙窗口。比方説，定義一個標題為“警告”，內容為“內存不足！”，圖標為“歎號”的欺騙窗口。這樣在別人第一次運行這個木馬的時候就會彈出定義的那個窗口，於是在神不知鬼不覺之中木馬已經被植入電腦了。

　　4.文件捆綁

　　該木馬自帶文件捆綁工具，真是很恐怖。以下是它的重要選項：

　　宿主文件：黑客可以在網上隨便找一個小動畫或者小程序，把它作為“寄生”的目標。

　　文件圖標：如果黑客找一個和系統工具一樣的圖標，一般的人是不敢刪除的。這樣，及時知道有木馬也無法及時清除。

　　(好了，有了GOP，大家就可以放心的去偷別人的OICQ密碼了，哈哈哈……啊！(眾小編皆把手中可扔之物扔了過來，“找你來是寫怎麼防黑的！”筆者從垃圾堆中爬了出來，“啊？這麼回事啊，怎麼不早説。”)

　　下面開始講如何對付這個木馬。因為它很新，不要隨便打開別人發過來的東西。這是一種非常冒險的行為，這絕不是危言聳聽！
二、木馬的檢查

　　該木馬運行的時候在Windows的任務窗口中是看不到的。不要相信Windows的任務窗口--這是筆者的第二個忠告。

　　點任務條上的“開始”、“運行”、“msinfo32”(就是Windows自帶的系統信息，在“附件”中)。看其中的軟件環境→正在運行的任務。這才是Windows現在全部運行的任務。當你在運行了什麼東西之後覺得有問題的時候就看看這裏。如果有一個項目有程序名和路徑，而沒有版本、廠商和説明，你就應該緊張一下了。先關掉你的貓(斷網)，然後脱機重新登錄一次你的OICQ，查找電腦中是否有文件(這是GOP記錄OICQ密碼的文檔，如果你的OICQ密碼被監控到了就一定會有。當然，即使你中了木馬，在你還沒有用OICQ的時候是不會有這個文件的。反正現在不在網上，不用擔心密碼被髮走)。如果有的話，那麼“恭喜”你了，100%中了木馬。不信？用記事本打開那個，看看有沒有你的寶貝OICQ的號碼和密碼。

　　三、木馬的清除

　　慶幸的是，至今為止絕大部分的木馬都是在註冊表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主鍵下添加一個鍵值來讓木馬自動運行，該木馬也不例外。運行regedit，進入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主鍵，記住那個在系統信息中查到的那個文件(在“剖析木馬的設置”中，我們知道木馬文件名是可以任意定製的，所以無法確定具體的文件名)的存放路徑，刪除該鍵值。然後關閉計算機，稍候一下啟動計算機(注意：不要選重新啟動)。然後進入文件的存放路徑刪除木馬文件即可。

　　最好的辦法是自己也下載一個GOP，然後用gopedit打開木馬文件，會知道和木馬關聯的文件位置，然後刪除。如果是刪除的文件是系統本身就有的，還需要再拷貝一個正確的回來。最重要的一點是打開木馬之後可以知道黑客的E-mail地址了(如果不清楚，請參看上面“剖析木馬的設置”)。知道這個東東有什麼用就看你自己的了。反正騰訊公司説偷竊別人的OICQ是違法的行為。