近日�,360互聯(lián)網(wǎng)安全中心攔截到一類偽裝為銀行卡圖標(biāo)的盜號(hào)木馬,該木馬主要通過QQ在陌生人之間傳播�。木馬運(yùn)行后,會(huì)打開一個(gè)QQ快速登錄的界面�����,一旦中招者點(diǎn)擊登錄��,包括QQ賬號(hào)��、密鑰以及昵稱在內(nèi)的隱私信息就會(huì)被發(fā)送到騙子的服務(wù)器中�,騙子可完全控制包括空間、郵箱等在內(nèi)的所有QQ服務(wù)�����。
由于銀行卡的圖標(biāo)具有迷惑性,不少網(wǎng)民因此誤點(diǎn)而遭遇盜號(hào)����。目前,360安全衛(wèi)士在木馬運(yùn)行前就可以精準(zhǔn)識(shí)別并進(jìn)行攔截���。廣大網(wǎng)民除了安裝專業(yè)的殺毒軟件之外����,還要注意慎點(diǎn)陌生人發(fā)來的可疑文件����,切勿因?yàn)楹闷嬷辛蓑_子的圈套。
以下為針對(duì)該木馬的技術(shù)分析:
一.簡介
近日����,360QVM團(tuán)隊(duì)收到用戶反饋:QQ上收到陌生人發(fā)來的木馬文件。經(jīng)過我們的分析發(fā)現(xiàn)這是一個(gè)用c#編寫的�����,利用QQ快速登錄盜取QQ賬號(hào)信息的木馬�。木馬圖標(biāo)為銀行卡圖片����,用戶稍有不慎點(diǎn)擊該木馬后就會(huì)有QQ賬號(hào)被盜的風(fēng)險(xiǎn)�。
二.樣本細(xì)節(jié)
1.獲取賬號(hào)信息
木馬啟動(dòng)后會(huì)將自身窗口最小化�,以此來避免引起用戶的注意。
然后木馬會(huì)打開一個(gè)QQ快速登錄的網(wǎng)頁���。
緊接著木馬執(zhí)行了一段JS代碼�,來獲取QQ賬號(hào)�,昵稱,快速登錄對(duì)應(yīng)的key���。
下圖的3個(gè)部分分別為獲取到的QQ賬號(hào)����,QQ昵稱��,快速登錄所需要的key��。
一旦黑客獲取到以上信息�,黑客就可以利用如下方式登錄騰訊首頁,進(jìn)一步使用該QQ的所有服務(wù)���。
http://ptlogin2.qq.com/jump?clientuin=QQ賬號(hào)&clientkey=快速登錄需要的key
進(jìn)入騰訊首頁
快速登錄QQ空間
快速登錄QQ郵箱
2.上傳賬號(hào)信息
木馬將獲取到的信息保存到LoginedInfo這個(gè)類中�����。
獲取完所有的賬號(hào)信息后�,木馬就會(huì)向控制端上傳數(shù)據(jù)�?刂贫说刂窞閠empuri.org。
通過觀察發(fā)現(xiàn)QQAPI_B這個(gè)類還有很多沒有用到的方法�。
GetData方法
GetLoginInfo方法
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議����,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作���,風(fēng)險(xiǎn)自擔(dān)�。
京公網(wǎng)安備 11010502041587號(hào)