来自IT的警匪片 账号盗窃答案的追捕

来自 IT 的警匪片 账号盗窃答案的追捕

文 /simeon

（注本文应国内电脑爱好者杂志而应急写的一篇稿件）

隔着办公室的玻璃窗，可以看到网监大队监控室里忙碌的干警们，近来，网络中出现大规模的挂马盗窃用户账户信息案件引起了省厅的高度重视，委派从事了多年反黑反病毒工作的老刀现场坐镇部署指挥，现在，他正在召集大家部署一场反盗窃行动。同样， XX 大夏的密室里，几位黑客也在盘算下一步该怎么下手。一场 “ 警匪 ” 大战马上打响。

 

揭开绝密档案 盗号诡计全揭穿

老刀坐镇自然不会打不准备之仗，他带来了技术专家对近期盗号案件监控记录的分析结果，打开绝密档案的光盘，通过大屏幕给大家展示下一步的对手，几位盗窃账号的头号大盗被一一分析。

 

大盗一号：金狐 QQ 大盗（见图 1 ）

老刀： QQ 账号和密码是网民接触最多的案例，现在盗窃的技术普及率最高，网上有很多盗 QQ 号码的软件，金狐 QQ 大盗 2008 就是其中的最典型的一款，下面来看它的盗号伎俩。

图 1 金狐 QQ 大盗

1. 下载并配置金狐 QQ 大盗

首先，在空间收信中输入网站地址，例如本例中的 “http://www.yiliaokeji.net/qq.asp” ，其中 QQ.asp 是 “ 金狐 QQ 大盗 2008” 软件提供的，将其上传到支持运行 asp 的网站空间即可，选中 “ 空间收信 ” ，则可以通过网站来收取盗取的 QQ 号码和用户密码；在邮件收信中，需要设置收信信箱、发信信箱、发信账号、发信密码和邮箱 Smtp 。

2. 测试程序正确配置与否

在程序主界面中单击 “ 发信测试 ” ，如图 2 所示，系统会自动弹出网站发信完毕；然后就可以查看网站能否生成测试文件以及收信邮箱能否接受到测试邮件。然后登录收信邮箱，如果配置无误，则可以直接看到测试邮件，打开后可以看到邮件标题为 “ 阿童木 QQ 终结者 ” ，邮件内容为 “ 测试成功 ” ，如图 3 所示，这表明收信邮件没有问题，能够正常接收盗取的 QQ 号码和密码。现在直接在 IE 中打开网站地址 “http://www.yiliaokeji.net/qq.asp” 如图 4 所示，在网页中显示为 “jhQQ” 表明程序正常运行，可以实现收信功能。

图 2

图 3

图 4

 

3. 生成 QQ 盗号密码

在金狐 QQ 大盗 2008 程序主界面中单击 “ 生成木马 ” ，程序会提示让用户选择木马文件的保存路径，选择路径完毕即可生成 QQ 盗号木马。将金狐 QQ 大盗 2008 所生成的 QQ 木马上传到肉鸡上，如果肉鸡上有 QQ ，则双击执行该木马程序，或者通过后台开启的 shell 来执行，该程序执行完毕后无任何提示。

4. 收获 QQ 账号和密码

直接到收信网站目录下打开 qq2008jh.txt ，如图 5 所示，即可查看用户 qq 号码和密码，如果通过收信邮箱，则可以直接登录收信邮箱进行查看。

图 5

大盗一号：冷枫网马（见图 7 ）

老刀：相比丢失 QQ 账号的损失，游戏账号和网银账户的丢失给大众带来的危害更大，下面这个就是此类案件的代表，冷枫网马。使用它相对简单一些，但危害更大，主要是网页挂马，让人防不胜防，下面来展示它的盗号过程。

1. 运行 “ 冷枫网马综合版生成器 ” ，系统出来一个登录窗口，必须具有密码和用户名才能使用，按照提示进行注册，如图 6 所示，按照要求进行注册。注册成功后，使用注册的用户名和密码登录 “ 冷枫网马综合版生成器 ” ，如图 7 所示，在下载地址中输入 QQ 木马或者其它木马的下载地址，在本例中输入 "http://www.antian365.com/test.exe" ，然后根据漏洞类别选择生成网页木马。

  图 6

图 7

老刀：现在很多软件都是通过 VIP 来进行收费，免费用户仅能使用部分功能，如图 8 所示，当选择后面的一些漏洞进行生成时，则给予提示并拒绝生成网页木马。

图 8

2. 在输入下载地址和选择相应的漏洞后，可以直接生成网页木马文件，这些网页木马文件可以是 js 脚本，可以是图片等，挂马的方式有很多，将网页木马文件和盗 QQ 号的木马放在指定的网站地址，当用户访问时，如果系统相应的补丁未打上，则 QQ 等账号很容易被盗取。

 

老刀一一给大家展示了 “ 大盗 ” 们的犯罪手段，兵来将挡水来土掩，大家开始研究针对这些犯罪手段的防护措施，会议室一片寂静。

 

盗窃 VS 保护 真刀实枪大战

在 XX 地下的 X 会所， X 集团也在开会，在分析了警察的几种监控方法后，决定对位于 XXX 商业街的 XX 电脑中心进行账号盗窃。一场决斗由此展开。

1. X 集团吹响攻击集结号

    X 集团配置了金狐 QQ 大盗和冷枫网马，分别在某小说网站和某门户网站进行挂马，团伙工作人员并且在收信邮箱和收信网站进行实时查看，等待 QQ 帐号和用户名自动上门。

2. 猫鼠大战，警部实施反击

   首先在本地计算机上安装 360 安全保险箱和金山密保。然后访问带有网页木马的网页，通过监控发现网站中的 winrar.css 存在问题，将该文件下载到本地直接打开，在最底部可以看到文件包含的木马文件路径“ http://www.yiliaokeji.net/test.exe ”，如图 9 所示。

图 9

3. 监控效果比较

测试机上未修补任何操作系统补丁，因此木马在后台已经运行，这时候登录 QQ ，金山密保给出了 QQ 异常情况，如图 10 所示， QQ 登录后其进程马上关闭后又重新打开，说明 QQ 木马已经正常运行。

图 10

接着 360 保险箱也给出了安全提示：发现可疑进程 atmQQ2.dll 正试图注入被保护程序腾讯 QQ ， 如图 11 所示。默认将该可以进程上报 360 安全中心，用户可以有选择的允许和禁止该进程的运行。单击“禁止”不让该进程运行，盗号集团盗号失败。

图 11

  在 360 保险箱和金山密保报警的同时， QQ 安全中心也不落后马上给出安全警告，告知用户发现盗号木马，提醒用户进行清除，如图 12 所示。

图 12

 

警方安全提示和建议

    通过本次警匪实战演练，说明了盗号集团也不是那么神乎其为，只要方法得到完全可以减少感染木马，被盗取 QQ 以及其它一些游戏帐号的风险，下面是一些安全提示和建议。

1. 做好准备，抵制诱惑

    现在挂马手段层出不穷，盗号者为了利益什么都敢干，现在连一些大型的门户网站都敢挂马，只要能够挂的地方都敢挂，网页挂马的最终目的就是盗取用户各种帐号密码，通过这些帐号和密码来获取不义之财。在网络的世界中他们会变出很多花样来欺骗你，引诱你上当，因此在访问网页时一定要注意，八股新闻、黄色图片以及搞怪等往往是挂马的最好地方，对普通用户而言，计算机中一定要有防火墙、杀毒软件，当然有拦截网页木马的软件更好， 360 卫士有拦截网页木马的功能，一个更好的方法就是在虚拟机中访问网页，即使病毒入侵也影响不大。

2. 勤打补丁，勤扫描系统漏洞

苍蝇不叮无缝之蛋，目前所有的盗号挂马所采取的手段无非就是利用一些操作系统或者应用程序漏洞，在冷枫网马中我们可以看到他主要有 Ms0604 、 Ms09002 、 Office 、 RealPlay 、暴风影音、超星等。现在很多杀毒软件都提供了漏洞扫描和自动安装漏洞补丁功能，仅需少许几步就可以减少帐号被盗的风险。其中 360 卫士的漏洞扫描就比较简单，运行 360 卫士，在 360 卫生主界面中单击修复系统漏洞， 360 卫士就会自动打开一个新窗口并对系统存在的漏洞进行扫描，最后给出扫描结果，用户根据提示进行操作即可，如图 13 所示。在 360 漏洞修复中有七个标签，即待安装系统补丁，第三方软件补丁，可选系统补丁，已安装系统补丁，已忽略补丁，已过期补丁以及设置选项。普通用户重点关注待安装系统补丁和第三方软件补丁，如图 14 所示，及时扫描和安装补丁。尤其是第三方补丁，像 Flash 、 Office 等应用软件如果未安装补丁则较容易感染网页木马。在使用 360 卫士时一定要及时更新其木马库和网址库到最新版本，这样才能及时修复最新的操作系统和第三方软件漏洞补丁。

图 13

图 14

3. 定期杀毒，实时监控

   个人用户不可能人人是网络安全专家，不可能通过一点点蛛丝马迹就能发现系统存在异常，这个时候就需要交给做安全软件，在计算机上安装一款杀毒软件，然后定期升级病毒库，一定要开启实时监控，同时还要定期对系统进行杀毒，对普通用户来说，系统不可能存放一些有病毒的东西，因此当计算机杀毒时发现有病毒，这个时候就要留意和小心了。如果是公司可以请求网管或者安全管理人员协助进行处理。

4. 定期做好系统备份

   建议在系统安装完毕后对操作系统做一个完整的 Ghost ，也就是备份，这样在发生意外时可以及时恢复，同时在每次更新系统补丁后，在确认系统正常后，再重新 Ghost 一篇，也即备份系统一遍，使系统在动态中进行备份，在发生病毒感染或者灾难时，可以及时恢复到最近的正常工作状态。

本文出自 “simeon技术专栏” 博客，转载请与作者联系！