近日,360互联网安全中心拦截到一类伪装为银行卡图标的盗号木马,该木马主要通过QQ在陌生人之间传播。木马运行后,会打开一个QQ快速登录的界面,一旦中招者点击登录,包括QQ账号、密钥以及昵称在内的隐私信息就会被发送到骗子的服务器中,骗子可完全控制包括空间、邮箱等在内的所有QQ服务。
由于银行卡的图标具有迷惑性,不少网民因此误点而遭遇盗号。目前,360安全卫士在木马运行前就可以精准识别并进行拦截。广大网民除了安装专业的杀毒软件之外,还要注意慎点陌生人发来的可疑文件,切勿因为好奇中了骗子的圈套。
以下为针对该木马的技术分析:
一.简介
近日,360QVM团队收到用户反馈:QQ上收到陌生人发来的木马文件。经过我们的分析发现这是一个用c#编写的,利用QQ快速登录盗取QQ账号信息的木马。木马图标为银行卡图片,用户稍有不慎点击该木马后就会有QQ账号被盗的风险。
二.样本细节
1.获取账号信息
木马启动后会将自身窗口最小化,以此来避免引起用户的注意。
然后木马会打开一个QQ快速登录的网页。
紧接着木马执行了一段JS代码,来获取QQ账号,昵称,快速登录对应的key。
下图的3个部分分别为获取到的QQ账号,QQ昵称,快速登录所需要的key。
一旦黑客获取到以上信息,黑客就可以利用如下方式登录腾讯首页,进一步使用该QQ的所有服务。
http://ptlogin2.qq.com/jump?clientuin=QQ账号&clientkey=快速登录需要的key
进入腾讯首页
快速登录QQ空间
快速登录QQ邮箱
2.上传账号信息
木马将获取到的信息保存到LoginedInfo这个类中。
获取完所有的账号信息后,木马就会向控制端上传数据。控制端地址为tempuri.org。
通过观察发现QQAPI_B这个类还有很多没有用到的方法。
GetData方法
GetLoginInfo方法
