最新文章:

首页 心情随笔

木马伪装“刷单任务” 劫持QQ语音暗中盗号

发布时间:2015年11月27日 评论数:抢沙发 阅读数:1197

    http://p7.qhimg.com/t011ee6c6aef159365b.jpg

    近日,360 QVM团队发现一类QQ盗号木马异常活跃。该木马通过QQ语音(QTalk)在网购刷单人群中大肆传播,并劫持Qtalk的文件隐蔽运行,通过弹出虚假的QQ语音登录框实施盗号。

    此木马限于QTalk用户之间传播,淘宝刷单者常“驻扎”在QQ语音的房间内,等待接单。而不法分子则伪装为淘宝卖家,与刷单者加为QQ好友,并向其发送由木马伪装的“刷单任务”,伺机窃取刷单人群的QQ账号和密码。

    360QVM团队提醒广大网友:系统设置一定要显示文件扩展名,不要轻易被文档或图片、表格等图标的文件迷惑,而是要通过文件扩展名判断真正的文件类型。360安全卫士和杀毒软件都可以全面拦截查杀新型的QQ语音盗号木马,当用户接收文件时如果360发出报警提示,应按照提示清除木马。

    http://p0.qhimg.com/t01ff2e7bb4f62b5d4a.png

    “QQ语音”盗号木马技术分析


    一、样本行为描述

    http://p4.qhimg.com/t017f41d3f3064eafb2.png

    木马伪装成淘宝刷单常见的doc文件,运行后释放盗号dll,然后通过劫持QTalk软件的DataReport.dll文件进行盗号、发包等操作。

    http://p4.qhimg.com/t010561a2fb78f65939.png

    二、传播途径

    根据木马劫持文件的目录,可以看出木马仅限于QTalk用户之间的传播,于是我们回访了受害用户,得知他们是通过QQ语音软件在某房间接单,专门为淘宝卖家刷单,不料遇到了骗子,接收到了木马文件,导致QQ被盗。

    http://p3.qhimg.com/t01167066ce8f0c1bd6.png

    三、详细分析

    l伪装的doc文件分析

    1、 木马首先通过注册表判断用户是否安装了QTalk

    http://p3.qhimg.com/t014bd32b9b2b5e8ff2.png

    若没有查到注册表则通过遍历进程来判断是否安装了QTalk

    2、 获取软件安装路径

    http://p2.qhimg.com/t0137a07a53dc2144ee.png

    3、 等待1分钟后遍历进程,查找qtalk.exe

    http://p6.qhimg.com/t0185241914b6464125.png

    http://p2.qhimg.com/t016d6980178f8cc688.png

    4、 结束当前的QTalk.exe,以便替换需要加载的模块文件

    http://p1.qhimg.com/t01299d63be1f91319f.png

    5、 在%appdata%目录下释放劫持文件,并以随机命命名

    http://p9.qhimg.com/t015a0324331600caec.png

    然后替换bin目录下的DataReport.dll文件

    http://p8.qhimg.com/t01259d5566ddcf4509.png

    至此,主程序运行完成。由于程序强制结束了QTalk.exe,那么此时用户就会重新打开QTalk.exe,然后加载木马释放的DataReport.dll文件。

    lDataReport.dll文件分析


    1、 对比正常DataReport.dll(左)和木马释放出来的DataReport.dll(右)文件, 木马

    释放的dll文件没有签名,且文件要比正常的大很多

    http://p4.qhimg.com/t01b76590a586267ee1.png

    http://p7.qhimg.com/t0190be3f0dd674af9e.png

    2、 两个文件的导出函数完全相同。

    http://p4.qhimg.com/t012d9baa03be4d2ab4.png

    http://p9.qhimg.com/t01054e26ff31f91654.png

    但是木马释放出来的文件的导出函数只是调用了一个空函数

    http://p8.qhimg.com/t0153a2719d097016e7.png

    http://p3.qhimg.com/t013cb6f94aa3b44e3a.png

    3、 木马dll主要用来仿造密码输入框(下图左),在正常的登录界面上覆盖假的文本输入

    框,一般很难看出来

    http://p7.qhimg.com/t013c287a43488f3e50.png

    http://p2.qhimg.com/t01cd4231e48f26050a.png

    4、 点击登录后,判断是否存在QTalk主界面窗口

    http://p2.qhimg.com/t014087d135dac5ab97.png

    若存在主界面窗口(成功登录),则发送账户密码,这样就能保证盗取的账户密码是有

    效的。

    http://p2.qhimg.com/t01ce81279ef6970f77.png

    5、 将盗取的账户密码分别发送到两个服务器上,

    http://p7.qhimg.com/t01238c85268f983a38.png

    http://p0.qhimg.com/t0110b93f8d6ca27f2c.png

    四、防范策略:

    1、妥善保管好QQ账号和密码,不要轻信刷单、刷信誉等业务

    2、 面对QQ好友传来的文件,通过如下方式判断其是否带毒:

    (1)打开“计算机”或“我的电脑”,点击菜单栏的“工具”菜单,选择“文件夹选项”,

    打开“文件夹选项”对话框后点击“查看”选项卡,在“高级设置”里去掉“隐藏已知文件类型的扩展名”前面的“√”。

    (2)查看接收的文件类型和图标,若图标是word、excel、ppt、txt、图片、文件夹、

    音频等文件类型的图标,而扩展名为.exe、.scr,这样的文件基本就是由木马伪装的,千万不要双击!

    (3)开启安全软件实时防护,在接收文件时进行安全检测,确认无风险再打开。

    本文由 360安全播报 原创发布,如需转载请注明来源及本文地址。

二维码加载中...
本文作者:Mr.linus      文章标题: 木马伪装“刷单任务” 劫持QQ语音暗中盗号
本文地址:http://www.90qj.com/262  百度暂未收录本文
版权声明:若无注明,本文皆为“挨踢 Blog”原创,转载请保留文章出处。
挤眼 亲亲 咆哮 开心 想想 可怜 糗大了 委屈 哈哈 小声点 右哼哼 左哼哼 疑问 坏笑 赚钱啦 悲伤 耍酷 勾引 厉害 握手 耶 嘻嘻 害羞 鼓掌 馋嘴 抓狂 抱抱 围观 威武 给力
提交评论

清空信息
关闭评论