近日����,360互聯(lián)網(wǎng)安全中心攔截到一類偽裝為銀行卡圖標(biāo)的盜號(hào)木馬,該木馬主要通過(guò)QQ在陌生人之間傳播���。木馬運(yùn)行后���,會(huì)打開(kāi)一個(gè)QQ快速登錄的界面,一旦中招者點(diǎn)擊登錄��,包括QQ賬號(hào)�����、密鑰以及昵稱在內(nèi)的隱私信息就會(huì)被發(fā)送到騙子的服務(wù)器中����,騙子可完全控制包括空間、郵箱等在內(nèi)的所有QQ服務(wù)����。
由于銀行卡的圖標(biāo)具有迷惑性,不少網(wǎng)民因此誤點(diǎn)而遭遇盜號(hào)��。目前���,360安全衛(wèi)士在木馬運(yùn)行前就可以精準(zhǔn)識(shí)別并進(jìn)行攔截�����。廣大網(wǎng)民除了安裝專業(yè)的殺毒軟件之外���,還要注意慎點(diǎn)陌生人發(fā)來(lái)的可疑文件,切勿因?yàn)楹闷嬷辛蓑_子的圈套����。
以下為針對(duì)該木馬的技術(shù)分析:
一.簡(jiǎn)介
近日,360QVM團(tuán)隊(duì)收到用戶反饋:QQ上收到陌生人發(fā)來(lái)的木馬文件�。經(jīng)過(guò)我們的分析發(fā)現(xiàn)這是一個(gè)用c#編寫的,利用QQ快速登錄盜取QQ賬號(hào)信息的木馬����。木馬圖標(biāo)為銀行卡圖片��,用戶稍有不慎點(diǎn)擊該木馬后就會(huì)有QQ賬號(hào)被盜的風(fēng)險(xiǎn)���。
二.樣本細(xì)節(jié)
1.獲取賬號(hào)信息
木馬啟動(dòng)后會(huì)將自身窗口最小化,以此來(lái)避免引起用戶的注意�。
然后木馬會(huì)打開(kāi)一個(gè)QQ快速登錄的網(wǎng)頁(yè)。
緊接著木馬執(zhí)行了一段JS代碼�����,來(lái)獲取QQ賬號(hào)���,昵稱�,快速登錄對(duì)應(yīng)的key�����。
下圖的3個(gè)部分分別為獲取到的QQ賬號(hào)����,QQ昵稱,快速登錄所需要的key���。
一旦黑客獲取到以上信息��,黑客就可以利用如下方式登錄騰訊首頁(yè)�����,進(jìn)一步使用該QQ的所有服務(wù)���。
http://ptlogin2.qq.com/jump?clientuin=QQ賬號(hào)&clientkey=快速登錄需要的key
進(jìn)入騰訊首頁(yè)
快速登錄QQ空間
快速登錄QQ郵箱
2.上傳賬號(hào)信息
木馬將獲取到的信息保存到LoginedInfo這個(gè)類中。
獲取完所有的賬號(hào)信息后��,木馬就會(huì)向控制端上傳數(shù)據(jù)����。控制端地址為tempuri.org���。
通過(guò)觀察發(fā)現(xiàn)QQAPI_B這個(gè)類還有很多沒(méi)有用到的方法�。
GetData方法
GetLoginInfo方法
文章內(nèi)容僅供閱讀�,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待���。投資者據(jù)此操作��,風(fēng)險(xiǎn)自擔(dān)����。
京公網(wǎng)安備 11010502041587號(hào)