深入揭祕真相:為什麼我的QQ會被盜走

你要是招惹了它，那麼在你不知不覺的時候，OICQ密碼可能就被洩露出去了。更恐怖是，它會把密碼傳送到網上去，黑客可不用千辛萬苦地到你的機器上搗鼓哦。今天要介紹的這個東東就是GOP(Get Oicq Password)。

　　一、剖析木馬的使用設定

　　常言道“知己知彼，百戰不殆”，要防範GOP的攻擊，首先就要了解它的運作機理。

　　最新版的GOP下載解壓縮之後是3個可執行檔案加一個說明文件，還有一個附帶的圖示。其中是服務端(千萬不要在自己的電腦裡面執行它！)，是服務端編輯器，是個整理髮送記錄的工具。GOP的配置分為四個部分。

　　1.一般設定

　　複製到定義目錄：下拉選單中可以選擇目錄、目錄、目錄和源目錄四種之一。這就是木馬的藏身之地。

　　執行後刪除原始檔：畫蛇添足的行為，連作者自己都推薦不要選上。(誰不知道執行後莫名其妙就消失的東東是木馬，要是有這種情況發生，嘿嘿，小心啊！)

　　服務檔名：就是木馬的名字，可以改任何一個名字，不容易被發現。

　　定義登錄檔鍵名：木馬一旦被執行過，就會在登錄檔中HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主鍵之下新增木馬的鍵，以便今後每次開機時木馬都能夠自動執行。

　　當記錄數超過××個時開始清理：當GOP記錄檔案中的記錄數達到這個××值的時候自動對記錄進行清零。

　　2.郵件設定

　　SMTP：設定郵件傳送伺服器。知道這是幹什麼用的嗎？當你上網的時候，GOP就會通過這個郵件伺服器把你的OICQ密碼傳送到網上！

　　傳送郵箱：這是黑客用來發送郵件的信箱帳號。國內的免費信箱的提供商大都對SMTP伺服器進行了限制，所以需要設定一個合法的郵件賬號來發送信件。

　　接收信箱：接收GOP傳送的密碼記錄文件的信箱，受害者密碼的最終目的地。

　　檢查間隔(秒)：設定GOP檢查記錄文件的時間間隔。如果檢查時記錄已經更新並且線上，就馬上傳送記錄。

　　3.欺騙視窗

　　(筆者認為該木馬很厲害之處)可以選擇是否在第一次執行GOP的時候彈出一個欺騙視窗。比方說，定義一個標題為“警告”，內容為“記憶體不足！”，圖示為“歎號”的欺騙視窗。這樣在別人第一次執行這個木馬的時候就會彈出定義的那個視窗，於是在神不知鬼不覺之中木馬已經被植入電腦了。

　　4.檔案捆綁

　　該木馬自帶檔案捆綁工具，真是很恐怖。以下是它的重要選項：

　　宿主檔案：黑客可以在網上隨便找一個小動畫或者小程式，把它作為“寄生”的目標。

　　檔案圖示：如果黑客找一個和系統工具一樣的圖示，一般的人是不敢刪除的。這樣，及時知道有木馬也無法及時清除。

　　(好了，有了GOP，大家就可以放心的去偷別人的OICQ密碼了，哈哈哈……啊！(眾小編皆把手中可扔之物扔了過來，“找你來是寫怎麼防黑的！”筆者從垃圾堆中爬了出來，“啊？這麼回事啊，怎麼不早說。”)

　　下面開始講如何對付這個木馬。因為它很新，不要隨便開啟別人發過來的東西。這是一種非常冒險的行為，這絕不是危言聳聽！
二、木馬的檢查

　　該木馬執行的時候在Windows的任務視窗中是看不到的。不要相信Windows的任務視窗--這是筆者的第二個忠告。

　　點任務條上的“開始”、“執行”、“msinfo32”(就是Windows自帶的系統資訊，在“附件”中)。看其中的軟體環境→正在執行的任務。這才是Windows現在全部執行的任務。當你在運行了什麼東西之後覺得有問題的時候就看看這裡。如果有一個專案有程式名和路徑，而沒有版本、廠商和說明，你就應該緊張一下了。先關掉你的貓(斷網)，然後離線重新登入一次你的OICQ，查詢電腦中是否有檔案(這是GOP記錄OICQ密碼的文件，如果你的OICQ密碼被監控到了就一定會有。當然，即使你中了木馬，在你還沒有用OICQ的時候是不會有這個檔案的。反正現在不在網上，不用擔心密碼被髮走)。如果有的話，那麼“恭喜”你了，100%中了木馬。不信？用記事本開啟那個，看看有沒有你的寶貝OICQ的號碼和密碼。

　　三、木馬的清除

　　慶幸的是，至今為止絕大部分的木馬都是在登錄檔的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主鍵下新增一個鍵值來讓木馬自動執行，該木馬也不例外。執行regedit，進入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主鍵，記住那個在系統資訊中查到的那個檔案(在“剖析木馬的設定”中，我們知道木馬檔名是可以任意定製的，所以無法確定具體的檔名)的存放路徑，刪除該鍵值。然後關閉計算機，稍候一下啟動計算機(注意：不要選重新啟動)。然後進入檔案的存放路徑刪除木馬檔案即可。

　　最好的辦法是自己也下載一個GOP，然後用gopedit開啟木馬檔案，會知道和木馬關聯的檔案位置，然後刪除。如果是刪除的檔案是系統本身就有的，還需要再拷貝一個正確的回來。最重要的一點是開啟木馬之後可以知道黑客的E-mail地址了(如果不清楚，請參看上面“剖析木馬的設定”)。知道這個東東有什麼用就看你自己的了。反正騰訊公司說偷竊別人的OICQ是違法的行為。