当前位置:中国反病毒小组 >> 反病毒学院 >> 查杀木马 >> 浏览文章
“Cookie大盗”木马分析报告
作者:佚名 日期:2013年12月11日 来源:21CN股票 浏览: 【字体:
核心提示: 日前,360安全中心率先截获一款专门盗取“QQ号+Cookie”的新型木马——“Cookie大盗”。利用该木马,黑客能够获得受害用户的QQ权限,利用受害者的QQ空间、QQ邮箱、说说等发布广告欺诈信
保护您的计算机 打造洁净网络 中国反病毒小组给您安全的保障
MYSQL安装图解 PHP MYSQL MYSQL下载 iis下载 iis php IIS是什么
中国反病毒小组网2013年12月11日消息:

 日前,360安全中心率先截获一款专门盗取“QQ号+Cookie”的新型木马——“Cookie大盗”。利用该木马,黑客能够获得受害用户的QQ权限,利用受害者的QQ空间、QQ邮箱、说说等发布广告欺诈信息,甚至长期偷窥受害者的QQ邮箱邮件。

据悉,以往木马盗号主要是盗“QQ号+密码”,但“Cookie大盗”木马的攻击目标除了用户的QQ号之外还有Cookie信息。黑客借助“Cookie+ QQ号”,可轻松获取受害者的QQ权限。且该木马还能通过Cookie维护器定期向服务器发消息,以实现长时间控制用户权限的目的,而Cookie提取和倒卖也已经成为木马黑色产业链“洗号”的重要手段。

安全工程师介绍,Cookie大盗主要通过虚假色情网站传播,其危害包括:监视QQ邮箱邮件、洗劫QQ账户虚拟财产、利用社工骗取受害者家属钱财、利用受害者QQ空间发广告和欺诈信息、刷日志转载、刷说说分享、加认证空间关注等。

目前,360安全卫士和杀毒均可拦截查杀Cookie大盗木马。如果有用户因使用外挂、色情播放器而冒险关闭安全软件中了木马,一旦发现自己QQ空间发布异常的广告信息、或关注了陌生账号,应立即注销QQ账号并重新登录。或者立即通过“QQ安全中心”修改密码,从而使木马盗取的Cookie认证信息失效,以避免遭受更大的损失。

点击浏览下一页

图:360安全卫士拦截“Cookie大盗”

附:Cookie大盗木马分析报告

1木马传播:虚假色情网站播放器

QQ Cookie大盗主要通过虚假色情网站传播:

点击浏览下一页

木马伪装为视频播放器的引导程序:

点击浏览下一页

值得注意的是该色情播放器引导程序还会流氓推广一些软件,如下图所示sun.exe(盗用鲁大师图标)则是Cookie大盗木马

点击浏览下一页

2木马原理:盗取Cookie+QQ

木马启动后,先制作一段盗取Cookie的网页代码:

点击浏览下一页

之后通过mshtml的execscript执行插入的代码,类似于网购木马的手法:

点击浏览下一页

窃取到用户Cookie信息:

点击浏览下一页

再盗窃用户QQ账号、昵称这些信息,然后打包发到木马后台:

点击浏览下一页

3木马盗Cookie目的:获取受害用户QQ权限

QQ登录之后会返回的Cookie中,带有一个stkey的值。通过stkey,能够计算出一个校验值,利用这个校验值,就可以向QQ空间发送消息,添加关注,甚至查看QQ邮箱邮件等,拥有受害者QQ的权限。

点击浏览下一页

利用受害用户QQ发广告:

点击浏览下一页

各类营销工具也在网上泛滥:

点击浏览下一页

4、以“关注某个认证空间”具体的案例还原整个过程:

①、用户本地运行QQ Cookie大盗之后,木马上传QQ账号和昵称信息以及Cookie信息到木马后台;

②、木马作者在后台收集N多此方法盗取的Cookie,然后用它们自己的Cookie维护工具进行维护,以防Cookie失效;

③、传统意义上的QQ信封交易正在从以账号、密码为内容迁移到以账号、Cookie为内容;

④、有了受害者的账号以及Cookie,有的人用来做日志转载,有的人做说说分享,有的人做关注认证空间。网上可以找到一款关注认证空间的工具,截图如下:

点击浏览下一页

关注空间的技术原理也很简单,就是从Cookie中提取出skey这个参数

点击浏览下一页

然后按照如下的算法,计算出g_tk

点击浏览下一页

得到g_tk之后,发包完成关注操作:

点击浏览下一页

其它日志转载等操作与之类似。

5、新型“洗号”手段:倒卖Cookie

以往木马盗号洗号主要目标是QQ账号和密码,如今不法分子洗号则是利用Cookie提取器提取Cookie,然后进行倒卖。在某些论坛和贴吧里,黑客工具作者正在公开售卖如下Cookie提取工具:

点击浏览下一页

6、360安全软件防御

拦截木马下载地址:

点击浏览下一页

木马防火墙主动防御

点击浏览下一页

木马盗取Cookie进行拦截:

点击浏览下一页

木马发送信息进行拦截:

点击浏览下一页

7、关闭安全软件而中招怎么办:立刻让Cookie失效

登录Cookie的有效期一般都不长,但是攻击者拿到Cookie后会定期向腾讯服务器发送消息,保持Cookie有效进行长时间控制。如果网友发现自己QQ账号出现异常情况,应注销QQ账号重新登陆,使原Cookie失效;此外,访问QQ安全中心修改密码,也可以使Cookie失效,从而摆脱Cookie大盗的控制。

中国反病毒小组
此文章对你有帮助吗?如果未能解决你的困扰,请访问我们的论坛发帖求助吧,我要求助!
分享按钮
Tegs:
责任编辑:xyulab
上一篇文章:浅谈Android手机木马手工查杀 下一篇文章:没有了
友荐云推荐
Copyright 2007-2013 www.china-antivirus.com, ALL Rights Reserved.
保护您的计算机 打造洁净网络 中国反病毒小组给您安全的保障
豫ICP备11016355号-1