QQ号码失窃原理及防御策略分析研究

　　【摘要】文章详细分析QQ号码失窃的三种情况及其原理，针对每种情况研究可行性防御策略，提出QQ号码失窃后的补救措施。文中涉及的一些防御策略同样适用于其他木马病毒。
　　【关键词】QQ；黑客；木马；钓鱼网站
　　1引言
　　当今社会，网络改变了人们的生活方式，自然也改变了人们的交流方式，人们利用各种网络通讯工具和手段进行自由的交流。这些众多的工具和手段中，腾讯QQ已成为人们使用最为普遍，最方便快捷的网络即时通讯工具之一。也正因为如此，不少黑客瞄准了QQ号码这块市场，他们通过一些黑客技术来大量窃取他人的QQ号码以达到其不可告人的目的。在笔者身边时常发生好友QQ号码失窃的案例，给当事人带来各种各样无法挽回的损失。
　　基于此，笔者长期关注QQ号码安全，对其失窃的原理与防御策略进行了一系列分析研究。
　　2QQ号码失窃原理分析
　　黑客窃取QQ号码主要通过两大环境进行。一种是在本地环境中采用各种手段获取他人电脑使用权后，利用某些QQ号码破解工具进行窃取。另一种是在互联网环境中通过各种盗号木马或钓鱼网站进行窃取。两者中以后者更甚。
　　2.1本地环境QQ号码失窃原理
　　当用户使用QQ时，QQ软件会将用户账号、密码、好友列表、个人信息和聊天记录等经过多次MD5运算，以加密文件的方式保存在本地电脑的QQ安装目录中。本地环境破解是指盗号者获取电脑使用权后，通过某些破解软件破解保存在本地硬盘中的密码信息文件。常用的破解软件有"QQ密码破解器"以及它的各种变种版本。
　　面对经过加密的QQ密码文件，大多数破解软件均采用了相同的工作原理，即穷举法。理论上讲，只要穷举键盘上可以输入的字符串，就必定会找到所需的各种用户账号和密码。破解软件采用穷举法破解QQ密码，就是将密码中所有可能出现的字符按照一定的算法进行排列组合，直到找到一组与密码完全匹配的字符序列。这种方法遇到破解较复杂的密码时，由于组合数列过多，因此破解时间较长，有破解失败的可能性。
　　由于本地环境中利用破解软件穷举密码的方法耗时较长，这种盗号方式目前已很少使用。
　　2.2互联网环境远程窃取QQ号码原理
　　目前大部分QQ号码失窃都是用户在使用互联网的过程中，黑客通过QQ盗号木马或钓鱼网站进行窃取，整个过程用户毫无察觉。在分析远程盗号原理之前，需要使用户正确理解"木马"的相关概念。
　　2.2.1木马概述
　　1）木马与一般病毒的区别
　　木马是目前比较流行的病毒文件，但与一般的病毒不同，它不会自我复制，也并不"刻意"地去感染其他文件。黑客通过它可以对计算机系统进行强有力的远程控制、密码窃取、控制系统操作和文件操作等破坏行为。当普通家用计算机或企业局域网内计算机在断开互联网的情况下，木马病毒本身并不会对系统进行主动控制和攻击。
　　2）完整木马系统的组成
　　一个完整的木马系统由控制端、服务端、Internet组成。人们通常所说的"木马"实际上是服务端的木马病毒。
　　控制端：即黑客用来操作的部分，包括黑客使用的计算机硬件和木马病毒控制端软件，利用这些资源对受害者计算机进行远程控制。
　　服务端：即受害者计算机硬件和受害者计算机中的木马病毒。
　　Internet：控制端对服务端进行远程控制、数据传输的网络载体。
　　3）木马功能分类
　　木马从功能上分为窃取各种账号及密码的木马和能远程操作受害者计算机的木马两种类型。
　　窃取各种账号、密码的木马。这类木马实际是键盘记录器或内存截取器，通过记录键盘输入或计算机内存中保存密码的地址来窃取账号和密码。对QQ盗号木马而言，有著名的"啊拉QQ大盗"、"征服者QQ大盗"及它们的各种变种版本。
　　能远程操作受害者计算机的木马。这类木马能实现屏幕监控、软件操作、上传下载等多种功能。最具代表性的是"灰鸽子"木马和"冰河"木马。
　　2.2.2远程窃取QQ号码原理
　　1）通过盗号木马进行窃取，如图1所示。
　　步骤一：黑客首先在Internet中申请一个ASP空间或一个电子邮箱。
　　步骤二：将申请好的ASP空间地址填入控制端软件的配置界面，生成相应的接收程序文件，通常为ASP类型的文件（如果填入的是电子邮箱地址，不会生成接收程序文件）。
　　步骤三：利用FTP工具将QQ木马控制端软件生成的接收程序文件上传至ASP空间。
　　步骤四：控制端软件可自动生成QQ木马，其中包含了接收地址信息。生成木马的扩展名为"exe"。
　　步骤五：将生成的木马进行一系列的伪装、捆绑或免杀处理。黑客会将木马图标伪装成各种可爱姿态的小企鹅图标，并配有诱惑性的名称，如"QQ显IP版"、"QQ新功能体验版"等，有时会将伪装好的木马与正常应用程序进行捆绑。更有甚者，一些高层次黑客会对生成的木马进行免杀处理。所谓"免杀"是指利用"定位病毒特征码技术"和"反汇编技术"对木马进行二次处理，使其避免被杀毒软件查杀。
　　步骤六：黑客通过Internet将这些经过层层"包装"的QQ盗号木马以各种形式传播至他人计算机。通常的传播方式有几种。
　　*以"好友"身份将捆绑有木马的文件通过QQ发送，请求对方接收。
　　*向对方发送带有木马的E-mail附件，诱骗对方接收。
　　*搭建挂有木马的网站，诱骗"好友"访问，或无目标性地将网址发布到各种论坛、贴吧中供网友访问。用户一旦访问此类网站，计算机会立即"中招"。
　　*将木马捆绑至各种游戏外挂程序中供游戏爱好者下载使用。
　　步骤七：用户一旦接收到这些带毒文件并双击运行，会立即激活木马。对于QQ盗号木马而言，通常会出现两种情况。*弹出酷似QQ登录的伪界面，用户将QQ账号和密码输入伪登录界面后，立即会弹出各种奇怪的QQ软件出错提示，随后自动关闭此界面。与此同时，木马已将账号和密码从内存中截取或用键盘记录器记录。这些莫名其妙的错误提示只是掩人耳目的手段，给用户一种软件出错的错觉。
　　*某些盗号木马双击运行后首先强制关闭正在运行的正常QQ程序，用户发现QQ自动下线后，再次运行正常的QQ软件输入账号和密码，岂不知再次输入的信息已被驻留在内存中的木马所截取或用键盘记录器记录。
　　步骤八：由ASP空间中的接收程序调用受害者计算机中的木马将截取后的账号、密码信息自动上传至ASP空间。如果黑客使用的是电子邮箱，此时受害者计算机中的木马会自动向指定邮箱发送包含账号、密码信息的邮件。
　　步骤九：利用FTP工具登录ASP空间，将包含有QQ账号、密码信息的文件下载至黑客本地电脑，或登录邮箱获取账号信息邮件。
　　至此，黑客完成了一次完整的盗号过程。整个过程中，ASP空间或电子邮箱充当了黑客与受害者计算机之间通信的"桥梁"。
　　2）通过钓鱼网站进行窃取。
　　黑客制作一些虚假的中奖活动网页，或索性仿冒腾讯公司旗下的各种网页，通过QQ聊天信息、QQ空间、假系统消息等散布中奖、排名、免费送QQ靓号等虚假信息吸引用户眼球，用户访问后要求输入QQ号码、密码、个人资料等才能进行下面的流程。一旦输入后，这些重要信息无一幸免全部进入虚假网页的后台数据库，黑客通过查看后台数据库便轻而易举地获取用户信息。
　　3防御策略