转载 顺藤摸瓜:让盗号者得不偿失
今天同事小王的心情格外“低落”,原来是有人窃取了他的QQ密码,并把他的好友以及个人信息统统删除了!这种恶作剧实在是太讨厌了!小王很担心再出现这种情况,就跑来求救,笔者只好应邀前去一试。
[B]查出木马进程[/B]
根据笔者经验,密码被盗往往是由木马引起的。只有知道本地计算机被他人所植入的是何种木马,我们才能采取相对应的措施,否则是无从下手的。
首先进入到丢失QQ的电脑桌面,打开“Windows任务管理器”对话框,在其上方功能组件里,选择“进程”标签选项,程序会显示出正在运行的所有进程。在这里找找是否有可疑的陌生进程出现,笔者在小王的机器中找到了阿拉大盗“Ntdhcp.exe”的木马进程,难怪他会丢失自己的QQ号码。
提示:对于不明进程,我们可以在Google上进行搜索,以确定该进程是否为木马进程。
[B]反抓“捞鱼之船”[/B]
既然知道是阿拉大盗木马所为,事情就简单了,只要下载木马专杀工具清除木马即可。但笔者不想就此善罢甘休,通过搜索,笔者了解到阿拉大盗是以邮箱接收被盗QQ号码的信息的,于是想到采取Sniffer监听的方式,窃取到所接收邮箱的账户信息,以便我们“顺藤摸瓜”地找到盗号邮箱。
这里笔者采用了X-Sniffergui监听工具,下载解压后,双击运行“XsnifferGUI”可行程序,会弹出“图形化”操作界面(如图),如果想要采取“监听”模式,单击下方“开始监听”按钮,程序就会立即监听本机目前所有“账户”的信息流动情况。小王这台机器,还存在阿拉大盗木马,笔者马上登录另外一个QQ号码,并使用X-Sniffergui工具监听,窃取这个恶意盗号邮箱的账户信息,X-Sniffergui会将这些信息保存在以Pass.log为名的文档内,位置就在X-Sniffergui安装目录下。
得到了接收邮箱的具体资料,最后要做的就是登录这个指定的“捞鱼船”,笔者发现这个邮箱中“丰收”了很多QQ帐号和密码,看来是害人不浅,笔者删除了所有的邮件,并修改了邮箱密码,给这个自作聪明的盗号者一点教训。最后笔者下载木马专杀工具清除了小王机器中所有木马,终于圆满地解决了问题。
提示:一般用户在发现木马后只需用专杀工具清除,即可避免账号再次被盗的危险。X-Sniffergui属于黑客工具,请谨慎使用。
