关注我们
QRcode 邮件联系 QRcode
主页 » 信息安全 » 正文

记QQ盗号木马QQ粘虫的发展史 大家小心

 feng  580 ℃  0条点评

QQ发展到现在,已经不只是简简单单的聊天工具了,腾讯业务的不断拓展,现在QQ已经与你的游戏,邮箱,微博,财付通息息相关。因此盗取QQ账号,也成为了不法分子盈利的目标。专门从事QQ盗号产业的不法分子会对偷来的QQ号进行分类处理,有Q币的、有游戏装备的,会有专门的团队完成虚拟财产的转移,再冒充他人身份登录QQ号行骗。因而网友会经常看到有人冒充好友借钱消费,用来充值手机号、网游虚拟点卡,甚至直接冒充家人好友大笔借款。
QQ粘虫,作为盗取QQ账号最常用的手段,该病毒干扰正常QQ登录,将假的QQ登录窗口伪造的惟妙惟肖,再谎称“所谓QQ刷钻工具”传播。
QQ粘虫病毒的几个主要传播渠道: 1.伪装成QQ刷钻工具, 主要是论坛下载,qq群共享方式 2.伪装成各种QQ游戏外挂,
主要在外挂论坛下载 3.诱人的文件名(如:美女图片,xxx艳照门,最新资料等等) 主要用qq聊天点对点传播,qq群共享
因而,使用这几类工具的网民就成为了最初的受害者,同时也变成了此类病毒的传播源,因为盗号分子会通过盗取的qq号再向该号的好友发送此类病毒,或者在qq群共享此类病毒,往往信任你的朋友很可能就成为下一个受害者。
QQ粘虫到今天,也是在不断的改变,来逃过杀软的追杀,下面我们一起来看看QQ粘虫的发展史~ QQ粘虫第一代:
QQ粘虫第一代火眼分析报告举例:
http://fireeye.ijinshan.com/analyse.html?md5=0c2d94a62b73b33ca1f775cc916c381f#full
http://fireeye.ijinshan.com/analyse.html?md5=01413043ba7dd612170099f31a7ad0c0#full
http://fireeye.ijinshan.com/analyse.html?md5=01352ec198e7db237095145b8812f9bc#full
从火眼分析报告可以看出,盗号流程是: 1、先弹出个美女图片迷惑用户;
2、然后检测是否有QQ.exe进程,有的话结束掉,然后弹出一个假的QQ登录界面;
3、你在假QQ登录界面输入完账号信息以后,会将你的资料发送到黑客手上,在网络监控可以看到。 火眼点评:
第一代行为简单粗糙暴力。因为刚刚出现用户和杀软都还没意识到所以也算是简单有效 QQ粘虫第二代: QQ粘虫第二代火眼分析报告举例:
http://fireeye.ijinshan.com/analyse.html?md5=0451b9e0993aa3fb7f0ca0b17671f11c&sha1=dbeb90049ca1583ea21cf3aa5199f5349f5b5061#full
从火眼分析报告可以看出,盗号流程是: 流程跟第一代差不多,不过第一代用的是一个假的QQ登录界面,
而第二代,变为创建透明窗口覆盖到真实qq登入界面上来盗取账号信息了。
1、运行后会弹出一些捆绑的图片或者文档之类的迷惑用户。并且会做一些简单对抗,检测杀软进程,如果发现有杀软,就不会采取后续行为操作。
2、检测当前是否有QQ.exe进程,如果有则结束QQ进程,并到QQ目录下删除Registry.db文件,让已经记录QQ账号的号码下次登入时需要手动输入。并且创建透明窗口,来窃取用户资料。
3、将盗取的资料发送到黑客邮箱。 火眼点评: 第二代行为处理细腻多变,
第一代行为暴力很容易就被杀软追杀,而且用户已经认识到不太容易被这么虚假的登入界面所欺骗,因此作者实现的方式也升级了,用透明窗口覆盖到qq真实的登入界面上,让用户难以区分
QQ粘虫第三代 QQ粘虫第二代火眼分析报告举例:
http://fireeye.ijinshan.com/analyse.html?md5=4e09f3296f1101a38ab0d024370657e0#full
http://fireeye.ijinshan.com/analyse.html?md5=3c618e0266ce56b2ce67d4c443a8f249&sha1=21d786bebeab4da526fc44f1c03916d3f98b78dd#full
从火眼分析报告可以看出,盗号流程是:
1、随着用户的警觉性提高,有的人会使用QQ的软键盘登录,这个时候,病毒作者又想到了一个新的方法,将QQ目录下的TSSafeEdit.dat文件替换
然后病毒自己模拟了一个QQ软键盘,盗取用户资料。
2、而且,还会在桌面释放其他lnk(如下图,QQ,酷狗等),迷惑用户,当你在桌面运行这个lnk时,会被指定跳到病毒指定程序。
火眼点评:
更细腻更畏惧,比起第二代,第三代病毒模拟的更全面,更逼真,让普通用户无法区分。同时行为更畏惧杀软的查杀,不再明目张胆的添加开机启动,而是通过迂回的方式达到下次启动
QQ粘虫第四代 QQ粘虫第二代火眼分析报告举例:
http://fireeye.ijinshan.com/analyse.html?md5=0b4c9352facecd5f966f0852ba047c29#full
从火眼分析报告可以看出,盗号流程是: 现在互联网小白用户还是占绝大多数
,很多人看看QQ忽然消失,然后弹出重新登录窗口,以为是网络异常或者qq号被盗了,急忙输入帐号密码想把帐号保护住,然而这个正是病毒作者精心设计的一个圈套,qq号就这样在急急忙忙中被盗了。
火眼点评:经过3代的变迁,和杀软不断的对抗,第四代真是越简单越难防,因为第四代样本行为非常简单,不会触发主动防御软件的监控规则。再者他就一锤子买卖。因为只运行一次,不做添加开机启动操作。盗取的时间点也做了转变不在是登入的时候,而且故意触发出qq登入异常的窗口,让用户信以为真。
后记:
盗qq号中qq粘虫其实现成本非常低,效果也不错。因此相信qq粘虫样本不会绝迹,只会在想尽一切方法来躲避杀软,更真实的欺骗用户,后续肯定会有第5代,第6代....
转自:http://bbs.duba.net/thread-22910072-1-1.html

本文标签:
所谓查看支付宝用户转账记录漏洞,并非漏洞
百度网盘35G(两年)+10G(永久)免费扩容
我是如何打造一款自动化SQL注入工具的我是如何打造一款自动化SQL注入工具的分析勒索软件Cerber的攻击方法分析勒索软件Cerber的攻击方法​分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)​分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)某个商业定向攻击活动分析某个商业定向攻击活动分析

已有0条评论,欢迎点评!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

国际惯例, 沙发拿下 . . .


注册帐号  |  忘记密码