一个超级猥琐的钓鱼思路

真诚走天涯

首先说明：本人分享这个思路仅是为了提醒大家不要去乱下文件，并且证明网络很危险，要有警惕性，也让大家对这类钓鱼心里有个底。

当本文在新手无毒发表后，我会在微点论坛向微点官方公布这个思路，以备微点官方作出相应的对策对微点主防进行更新。

首先我们要说的是那个“过”微点的盗Q木马，请先去看那篇文章：[url=http:/[在论坛广告被屏蔽]/jingli/5564.html]http:/[在论坛广告被屏蔽]/jingli/5564.html[/url]

这个“过”微点的盗号木马很猥琐，极其猥琐，但是有很多社会工程学的缺漏。我在惊叹这个钓鱼木马编写者的猥琐时，同时想到了完善这个钓鱼木马并且更猥琐的思路。

早在2008年，微点就截获了一些半钓鱼半技术型的盗Q木马，并且微点主动防御软件早早就能拦截这些木马了。附两张图，大家可以看看微点官方对那个木马的分析，可以学到不少知识。

至于我的那篇“过”微点盗Q木马的文章里说得很清楚了。我测评的这个前几天出现的钓鱼木马主要是检测QQ启动，然后在QQ密码框那儿同一高度置顶一个输入框。然后，这个木马的作者还可以很容易地获得我电脑中的QQ本地聊天记录文件夹的QQ号。（在共享文档里面有文件说明了我的QQ的本地聊天记录保存在哪。每一个Q号的聊天记录文件夹都是以该Q号命名的。）

这个过程没有很多技术，就是靠猥琐的思路。除非是复杂的HIPS或者是报警频繁的安全软件，否则很难拦截这个钓鱼木马。而微点为了减少报警，默认情况下是关闭微点防火墙的。这样这个木马就能直接联网了，一切都完了。

那么这个木马还是有些缺陷的，会让用户察觉到不正常。

1，传播方式和名字都很搓。名字叫做“新像片”的压缩包，打开后名字是"新像片.exe"。我看着就能确认不是好东西。而且我想这种文件也是传播过程中除非涉及到看新像片才会被网友下载，传播途径肯定比较弱智。

2，打开文件后搓。打开这个文件后没有新照片出现，你文件名是新照片，你好歹打开一张图啊。什么都不打开，而且任务管理器还有像片.EXE文件，你说是不是太明显了？

3，遍历进程关闭QQ没有任何铺垫。你打开文件后没有图片给别人看，还关了别人QQ。别人不会怀疑吗？会马上去登Q？

4，联网没有铺垫。这样就是会被各个杀软的网络连接报警，联网进程还是“像片.EXE”你说大家会放行么？

说了这么多，这个钓鱼木马还是破绽很多。

怎么解决呢？听我猥琐一把。

首先，别起这种拉风的钓鱼名字。找个正常的知名的软件捆版在一起，然后去论坛四处发信息，说这是这个软件的破解版。比如迅雷VIP破解版啊，巡游VIP破解版啊，QQVIP破解版啊。往这些常用的有功能限制的软件上靠，能吹到用户心动下载安装就成，实际有没有这些破解不用管。

接着用户就会下载安装了。但是肯定用户的电脑是有安全防护软件的啊（至少360杀毒），不能干太技术的事，比如创建全局钩子监听，必定不会成功。在用户安装正常软件时启动这个进程就好，把文件写到QQ随便一个目录下，文件名字就叫做QQ support好了。然后呢，遍历进程关闭QQ。接着弹出界面，就说“QQ的运行出错了，需要发送技术支持信息以协助我们解决这个问题。”当然这个最好模仿QQ自带的报告框体，我记得QQ是有这个功能和弹出框的。然后尝试发送信息到自己的服务器，杀软和防火墙一般就会报警：有个在QQ目录下的QQ support进程要连接网络咯。一般用户就会允许了，甚至直接加可信永久放行。

接着用户发现QQ被关闭了就会重启QQ了，只要检测QQ启动，在QQ密码输入框同一高度的位置置顶一个输入框，等用户输入密码。再获取本地QQ个人文件夹的QQ名。一起发送。OK了。

不过要是遇到那种不让QQ发技术支持信息的自私冷漠用户怎么办？那这里就要做个二手准备。如果QQ support能够联网成功，服务器返回指令，下一步就多连几次网，把用户搞烦了逼用户把联网加永久可信。如果QQ support程序联网不成功，那就往Adobe的文件夹写入文件。名字就叫Adobe Update好了。反正刚才关闭QQ这事已经有QQ报错框做铺垫掩盖过去了。等收集到用户的QQ密码，过十几分钟弹出Adobe软件升级界面，内容大致如下：尊敬的用户，您的Flash player组件已经很久没有升级了，可能会导致网页视频显示不正常以及未知的安全问题，现在将联网检测组件更新，升级过程只需要几十秒到几分钟，并且一切都是后台自动完成的。。。。。。(当然最好使用Adobe的那种框，模仿的好一点）

由于Adobe确实有这类的升级。而且除非完全不用IE内核的浏览器，否则都有安装这个插件。况且一般大家都有遇过QQ空间显示不正常等问题，360和金山还有腾讯都有提到要安装新版Adobe Flash player来解决QQ空间的显示问题。这下就是：防火墙提示Adobe目录下有个Adobe Update要连接网络咯，大家几乎都会允许了。接着号码和密码都发出去了，OK。

这种猥琐的思路，即使是我这样“绝不使用除我自己的个人电脑外的电脑”的警惕老鸟。要是贪心去使用个什么迅雷VIP破解版，在过程中也完全无法察觉到钓鱼行为。盗其他的网游密码也是类似这样的思路了。

所以咯，记住一点：不要在不明站点下载非官方版本的软件进行安装。否则，鬼知道你什么时候密码就被钓走了！

上面的Adobe升级内容是用来恐吓用户的，恐吓的目的是为了联网把盗的密码发出去。而我这篇文章也是用来恐吓大家的，不是恐吓的目的是为了大家好啊。毕竟这种思路是我这种“还原软件+安全软件+高级安全意识+时常备份重要资料”都会栽的超级猥琐流啊！

sugerkevin

的确猥琐

Kugoo015

我倒是想完全不用ie……网银不给我机会啊。
全局钩子监听……我们可是小白啊
这个钓鱼思路很猥琐。。

tjlba

写得太好了 ，  我不得不登录帐号支持

c287432622

防火墙还是必要的，特别是防火墙白名单。

again77

写的太猥琐了。。。
如果我是自动登陆扣扣呢？
还有 这个木马不少见啊。早就有了，还有就是一般安装数字或者山山卫士都在接收文件后能扫出来把。如果扫不出来就说明这俩太渣渣了。
而且Q好的被盗，不好的就不被盗了。
改改个性签名。
像什么拨打XXX可以获得200元的话费啊
XXX领取Q币啊
XXX算命 起名字  个性签名。。。。

-oAo-

我用规则5防火墙

micr0point

人才啊，会写程序的不一定有思路，有思路的不一定会写程序。二者兼者，人才。人才+道德败坏，太可怕了。

891711995

利用Adobe Update发送···太猥琐了····学习了···

晚风中的泪

太猥琐了啊