查看: 10412|回复: 9
收起左侧

[今日话题] 技术科普贴:QQ盗号木马中的最大毒枭“QQ潜入者”

[复制链接]
腾讯电脑管家
发表于 2013-3-8 18:40:48 | 显示全部楼层 |阅读模式
本帖最后由 腾讯电脑管家 于 2013-3-8 18:43 编辑

       QQ盗号历来是最令人愤恨的,但也是网络用户遇到的最常见事情,什么原本几百年不联系的【好友】突然造访借钱,还各种“猜猜我是谁”等乱七八糟的东西,各种不靠谱有没有?各种气愤有木有?在众多以盗取QQ号为目的的木马病毒中,“QQ潜入者”是破坏力和影响范围最大的一种,至今已经衍生至第六代变种。所幸,腾讯电脑管家已经可以对QQ潜入者全部变种版本进行彻底查杀,现在就让管家我就带各位了解下这个最大毒枭——【QQ潜入者】的前世今生。




1、QQ潜入者第一代。
第一代注入到explorer.exe和QQ进程采用的是远程线程注入,首先调用函数OpenProcess打开目标进程,接着调用VirtualAlloc函数在目标进程分配一块内存,最后调用WriteProcessMemory向事先在目标进程申请的内存写入代码;修改QQ模块(TSSafeEdit.dat)中保存输入密码代码使之指向恶意代码,达到拦截密码的目的。这种注入方式在技术上实现比较繁杂,比较暴力,破坏力也比较强,综合危险指数:95


2、QQ潜入者第二代。
从第二代开始,统一采用SPI的注入方式注入QQ进程,但是盗号的方式与第一代一样,仍然是对QQ模块的关键代码进行拦截实现盗号。这种注入方式与第一代的注入方式相比,比较温和,通过修改注册表中与LSP注册表项有关的数据,在QQ启动的时候,QQ进程就会自动加载该DLL,无需采用第一种繁琐的手段去进行注入操作。通过注入方式的改变,可以推测木马作者一方面也是在尽量减轻自己的工作量,另一方面也在木马的产品质量上下功夫。同时,第一种注入方式由于其高危险的操作,目前市面上的杀软都会对次行为进行提示,这样一来,增大了木马曝光的几率,稍微细心的用户会直接拦截这个行为,这样使得木马运行起来的几率变得更小,盗号成功率也变小,当然,木马作者获得的收益也就变小,这当然是他们不愿意看到的。另外,此种注入方式,如果只是简单的删除文件,那么在重启系统后,就会导致中了该木马的用户无法上网,从危害性来说,比第一代要大,其次,凡是系统中与SPI有关的进程,都会加载这个木马DLL,所以对一般用户来说,使得在木马的清除上,也变得比较棘手(因为根本无法删除木马文件)。综合危险指数:97分


3、QQ潜入者第三代。
QQ潜入者第三代开始下载DNF盗号木马。木马母体会访问一个html页面,该页面的内容为:是否进行下载、程序运行多久后进行下载、DNF木马的下载连接。从这里可以看出,QQ潜入者盗号木马在拓宽自己的业务渠道,从盗号数量和盗号质量来说,都得到了提升。如果盗取了用户的DNF帐号密码,那可以通过洗劫装备,转让帐号财富来获取更大的利益。综合危险指数:98



(木马母体访问的html页面)



4、  QQ潜入者第四代
QQ潜入者第四代开始下载其他盗号木马或者远控、木马程序下载器等恶意程序,这个变化说明盗号集团已经开始将黑手伸向了多个方面,已不仅仅是针对QQ或者DNF。综合危险指数:98


5、  QQ潜入者第五代-收信地址方面
QQ潜入者第五代之前的收信地址以明文的形式保存在盗号木马模块中,而第五代开始,就将收信地址加密,单独保存在另一个文件中,解密代码也经过加花指令等处理,且需要经过多层解密,才能获取到收信地址。综合危险指数:99


6、  QQ潜入者第六代-自删除时间
QQ潜入者之前的自删除时间为2.13.2.28,最新的变种的自删除时间为2013.3.31,所谓自删除时间,即过了“自删除时间”该木马将被自动删除,这是木马作者在与购买木马的团伙或组织之间进行价格博弈时,为自己做的一个筹码。有点像早些年收费的杀毒软件的序列号或激活码,如想继续使用本木马,请继续购买。



(图)自删除的设置是木马作者与产业链其他组织的博弈筹码



木马传播的主要渠道-色播
       色播,就是色情网站中提供下载的播放器。很多色情网站会要求访问者需要下载制定的播放器才可以观看,这种被“定制”过的播放器就是该木马的最大寄生体。所以,其实本篇贴文的标题也可以改成:宅男撸管请谨慎。(躺枪的请举右手~~)
当然,也有很多网友在看色情网站时会关闭电脑管家等安全软件,因为他们在撸管的诱惑下,已经不能忍受电脑管家对挂马播放器的拦截提醒了。于是,在他们爽完之后,盗号木马很可能已经被种进电脑,而多数宅男在一翻云雨之后,是不会马上使用全盘扫描或快扫进行查杀,而是洗洗睡了(躺枪的请举右手)……

       为了应对这种情况,腾讯电脑管家在你登录QQ时会进行抢杀式安全检查,如果登录环境存在木马风险,电脑管家会提醒并给予查杀指引。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3经验 +10 人气 +3 收起 理由
li13911 + 10 + 1 感谢技术科普,版区有你更精彩。
pizza + 1
virusdefender + 1 版区有你更精彩: )

查看全部评分

辽宁大连~~小海
发表于 2013-3-8 18:49:30 | 显示全部楼层
好厉害
fen86
发表于 2013-3-8 20:15:05 | 显示全部楼层
我就遇着过好久没联想的“朋友”开口就借钱的
vm001
发表于 2013-3-8 20:18:59 | 显示全部楼层
现在这样一般主防都会拦截他这个注入操作
目前流行的是网页欺诈骗取QQ和粘虫方式骗取QQ号码

不知道管家对这2类如何
li13911
发表于 2013-3-8 20:19:06 | 显示全部楼层
官人常来啊,感谢科普。
kfsb250
头像被屏蔽
发表于 2013-3-8 21:03:11 | 显示全部楼层
本帖最后由 kfsb250 于 2013-3-8 21:04 编辑

qqproctect允许注入么?我怎么感觉还是粘虫可怕点。
ccsfuture
发表于 2013-3-8 21:22:54 | 显示全部楼层
lg的诱惑.......
chenhh3
发表于 2013-3-9 00:23:35 | 显示全部楼层
官人,我又要!……科普!
官人,我又要!……科普!
roy20130
发表于 2013-3-9 10:17:47 | 显示全部楼层
前阵子好多同事的QQ号都被盗了
pizza
发表于 2013-3-9 11:01:48 来自手机 | 显示全部楼层
本帖最后由 pizza 于 2013-3-15 17:11 编辑
roy20130 发表于 2013-3-9 10:17
前阵子好多同事的QQ号都被盗了


额 那得赶快帮他们安装最新的官方版本QQ
最重要的是使用管家来全面保障安全^_^
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 22:29 , Processed in 0.119511 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表