近日,360互聯(lián)網(wǎng)安全中心攔截到一類偽裝為銀行卡圖標(biāo)的盜號(hào)木馬,該木馬主要通過(guò)QQ在陌生人之間傳播。木馬運(yùn)行后,會(huì)打開(kāi)一個(gè)QQ快速登錄的界面,一旦中招者點(diǎn)擊登錄,包括QQ賬號(hào)、密鑰以及昵稱在內(nèi)的隱私信息就會(huì)被發(fā)送到騙子的服務(wù)器中,騙子可完全控制包括空間、郵箱等在內(nèi)的所有QQ服務(wù)。
由于銀行卡的圖標(biāo)具有迷惑性,不少網(wǎng)民因此誤點(diǎn)而遭遇盜號(hào)。目前,360安全衛(wèi)士在木馬運(yùn)行前就可以精準(zhǔn)識(shí)別并進(jìn)行攔截。廣大網(wǎng)民除了安裝專業(yè)的殺毒軟件之外,還要注意慎點(diǎn)陌生人發(fā)來(lái)的可疑文件,切勿因?yàn)楹闷嬷辛蓑_子的圈套。
以下為針對(duì)該木馬的技術(shù)分析:
一.簡(jiǎn)介
近日,360QVM團(tuán)隊(duì)收到用戶反饋:QQ上收到陌生人發(fā)來(lái)的木馬文件。經(jīng)過(guò)我們的分析發(fā)現(xiàn)這是一個(gè)用c#編寫(xiě)的,利用QQ快速登錄盜取QQ賬號(hào)信息的木馬。木馬圖標(biāo)為銀行卡圖片,用戶稍有不慎點(diǎn)擊該木馬后就會(huì)有QQ賬號(hào)被盜的風(fēng)險(xiǎn)。
二.樣本細(xì)節(jié)
1.獲取賬號(hào)信息
木馬啟動(dòng)后會(huì)將自身窗口最小化,以此來(lái)避免引起用戶的注意。
然后木馬會(huì)打開(kāi)一個(gè)QQ快速登錄的網(wǎng)頁(yè)。
緊接著木馬執(zhí)行了一段JS代碼,來(lái)獲取QQ賬號(hào),昵稱,快速登錄對(duì)應(yīng)的key。
下圖的3個(gè)部分分別為獲取到的QQ賬號(hào),QQ昵稱,快速登錄所需要的key。
一旦黑客獲取到以上信息,黑客就可以利用如下方式登錄騰訊首頁(yè),進(jìn)一步使用該QQ的所有服務(wù)。
http://ptlogin2.qq.com/jump?clientuin=QQ賬號(hào)&clientkey=快速登錄需要的key
進(jìn)入騰訊首頁(yè)
快速登錄QQ空間
快速登錄QQ郵箱
2.上傳賬號(hào)信息
木馬將獲取到的信息保存到LoginedInfo這個(gè)類中。
獲取完所有的賬號(hào)信息后,木馬就會(huì)向控制端上傳數(shù)據(jù)。控制端地址為tempuri.org。
通過(guò)觀察發(fā)現(xiàn)QQAPI_B這個(gè)類還有很多沒(méi)有用到的方法。
GetData方法
GetLoginInfo方法
