本帖最后由 腾讯电脑管家 于 2013-3-8 18:43 编辑
QQ盗号历来是最令人愤恨的,但也是网络用户遇到的最常见事情,什么原本几百年不联系的【好友】突然造访借钱,还各种“猜猜我是谁”等乱七八糟的东西,各种不靠谱有没有?各种气愤有木有?在众多以盗取QQ号为目的的木马病毒中,“QQ潜入者”是破坏力和影响范围最大的一种,至今已经衍生至第六代变种。所幸,腾讯电脑管家已经可以对QQ潜入者全部变种版本进行彻底查杀,现在就让管家我就带各位了解下这个最大毒枭——【QQ潜入者】的前世今生。
1、QQ潜入者第一代。
第一代注入到explorer.exe和QQ进程采用的是远程线程注入,首先调用函数OpenProcess打开目标进程,接着调用VirtualAlloc函数在目标进程分配一块内存,最后调用WriteProcessMemory向事先在目标进程申请的内存写入代码;修改QQ模块(TSSafeEdit.dat)中保存输入密码代码使之指向恶意代码,达到拦截密码的目的。这种注入方式在技术上实现比较繁杂,比较暴力,破坏力也比较强,综合危险指数:95。
2、QQ潜入者第二代。
从第二代开始,统一采用SPI的注入方式注入QQ进程,但是盗号的方式与第一代一样,仍然是对QQ模块的关键代码进行拦截实现盗号。这种注入方式与第一代的注入方式相比,比较温和,通过修改注册表中与LSP注册表项有关的数据,在QQ启动的时候,QQ进程就会自动加载该DLL,无需采用第一种繁琐的手段去进行注入操作。通过注入方式的改变,可以推测木马作者一方面也是在尽量减轻自己的工作量,另一方面也在木马的产品质量上下功夫。同时,第一种注入方式由于其高危险的操作,目前市面上的杀软都会对次行为进行提示,这样一来,增大了木马曝光的几率,稍微细心的用户会直接拦截这个行为,这样使得木马运行起来的几率变得更小,盗号成功率也变小,当然,木马作者获得的收益也就变小,这当然是他们不愿意看到的。另外,此种注入方式,如果只是简单的删除文件,那么在重启系统后,就会导致中了该木马的用户无法上网,从危害性来说,比第一代要大,其次,凡是系统中与SPI有关的进程,都会加载这个木马DLL,所以对一般用户来说,使得在木马的清除上,也变得比较棘手(因为根本无法删除木马文件)。综合危险指数:97分。
3、QQ潜入者第三代。
QQ潜入者第三代开始下载DNF盗号木马。木马母体会访问一个html页面,该页面的内容为:是否进行下载、程序运行多久后进行下载、DNF木马的下载连接。从这里可以看出,QQ潜入者盗号木马在拓宽自己的业务渠道,从盗号数量和盗号质量来说,都得到了提升。如果盗取了用户的DNF帐号密码,那可以通过洗劫装备,转让帐号财富来获取更大的利益。综合危险指数:98
(木马母体访问的html页面)
4、 QQ潜入者第四代
QQ潜入者第四代开始下载其他盗号木马或者远控、木马程序下载器等恶意程序,这个变化说明盗号集团已经开始将黑手伸向了多个方面,已不仅仅是针对QQ或者DNF。综合危险指数:98
5、 QQ潜入者第五代-收信地址方面
QQ潜入者第五代之前的收信地址以明文的形式保存在盗号木马模块中,而第五代开始,就将收信地址加密,单独保存在另一个文件中,解密代码也经过加花指令等处理,且需要经过多层解密,才能获取到收信地址。综合危险指数:99
6、 QQ潜入者第六代-自删除时间
QQ潜入者之前的自删除时间为2.13.2.28,最新的变种的自删除时间为2013.3.31,所谓自删除时间,即过了“自删除时间”该木马将被自动删除,这是木马作者在与购买木马的团伙或组织之间进行价格博弈时,为自己做的一个筹码。有点像早些年收费的杀毒软件的序列号或激活码,如想继续使用本木马,请继续购买。
(图)自删除的设置是木马作者与产业链其他组织的博弈筹码
木马传播的主要渠道-色播
色播,就是色情网站中提供下载的播放器。很多色情网站会要求访问者需要下载制定的播放器才可以观看,这种被“定制”过的播放器就是该木马的最大寄生体。所以,其实本篇贴文的标题也可以改成:宅男撸管请谨慎。(躺枪的请举右手~~)
当然,也有很多网友在看色情网站时会关闭电脑管家等安全软件,因为他们在撸管的诱惑下,已经不能忍受电脑管家对挂马播放器的拦截提醒了。于是,在他们爽完之后,盗号木马很可能已经被种进电脑,而多数宅男在一翻云雨之后,是不会马上使用全盘扫描或快扫进行查杀,而是洗洗睡了(躺枪的请举右手)……
为了应对这种情况,腾讯电脑管家在你登录QQ时会进行抢杀式安全检查,如果登录环境存在木马风险,电脑管家会提醒并给予查杀指引。
| 
发表于 2013-3-8 18:40:48
好厉害
发表于 2013-3-8 20:19:06
前阵子好多同事的QQ号都被盗了