密码锁对决QQ大盗

毛主席说过: 实践是检验真理的唯一标准
那我们就用事实来说话吧
先将QQ加入终截者的密码锁保护列表内



启动木马进程,终截者对进程危险程序的判断还是很精准的.
根据我的使用经验,能让进程防护危险等级框拉到底的绝大多数都是木马病毒等非正常程序了



实验需要,我们放过该木马,允许它运行

启动QQ运行,并查看其进程模块,可以看到,进程空间内qn911.sys已经无法注入到QQ的进程中去.看来,终截者对ShellExecuteHook方式的线程注入还是有防御手段是非常成功有效的.
既然qn911.sys不能注入到QQ进程空间中,那么截取密码当然也就无从谈起了.
我们在查看指定接收密码的邮箱,里面自然一无所获



就这样一场QQ密码的攻防战就在用户毫不知情的状况中发生和结束了
用户唯一的线索大概就要到关闭QQ时,查看详细信息时才能从模块信息列表中看到木马曾经来过的蛛丝马迹



乘胜追击
各位看官看到这,相比结果已经明了了,接下来就是打扫战场的工作了.
从前面的木马分析中可以看到,木马残留在系统中有两个文件
C:\Program Files\Internet Explorer\PLUGINS\qn911.sys
C:\Program Files\Internet Explorer\PLUGINS\qn911.dll
所以用户要做的事情就是删除这两个文件
但qn911.sys还在其他进程中运行,此时是不能删除的



这时候,终截者的另一大特色功能就能派上用处了.
  


点击后重启,就运行到一个绝对纯净的环境中(不要将其等同于系统的安全模式)
在这里你就能很轻易地删除上述两个木马文件了 
至此,木马清理完毕
结束语
这次终截者遭遇的对手是利用ShellExecuteHook技术进行密码盗取的木马.
看的出来,终截者的研发人员针对这种技术提供了有效的防御方案,所以才能轻松获胜.
据我所知,这在同类软件中能做到的并不多,可以说是寥寥无己.
而且终截者的能力远不止于此,那么终截者的下一个对手会是谁呢?
文章来源:http://www.s-sos.net           风云整理发布
By 阿穆(amu)

上一页  [1] [2]