前言
QQ粘虫是已经流行多年的盗 木马,它会伪装QQ登陆界面,诱骗受害者在钓鱼窗口提交账 密码。近期,360QVM引擎团队发现一支专门攻击建筑行业人群的QQ粘虫变种,它伪装为招标文档,专门在一些建筑/房产行业聊天群里传播。
由于此木马样本带有其服务器数据库信息,木马生成器和一个小有规模的幕后团伙也因此而暴露出来。
传播途径
根据 友举 和样本关联分析,此QQ粘虫木马主要是活跃在建筑/房产行业的聊天群中,从样本信息也可以发现,木马攻击的目标就是建筑房产从业者。
通过 络搜索,部分文件名确实是曾经或正在进行招投标的工程,对相关从业者具有一定迷惑性。
样本分析
| 文件名 | (一标段)招标文件.exe |
| 文件大小 | 14728Kb |
样本双击执行后会弹窗告警,显示“文件已损坏”来迷惑受害者,实际上盗 木马已经在后台默默执行。
连接Mysql
通过检测窗口类TxGuiFoundation是否存在,如果存在则弹出QQ账 异常的钓鱼窗口。
钓鱼窗口
通过Mysql语句将盗取的QQ账 、密码、IP、address、UserID插入数据库
尽管QQ粘虫木马的拦截查杀难度并不高,但是由于部分 友电脑“裸奔”或是没有使用专业安全软件,从木马程序内置的数据库账 密码访问其数据库可以看到,竟有不少 民中招,截至7月17日下午,该数据库统计的盗 数量已接近3000个:
在木马服务器数据库里,还有木马生成器的更新信息,从而可以获取到最新的木马变种下载地址。
生成器
界面
压缩格式
生成器支持将木马程序压缩成:R00、ZIP、TBZ、RAR、TBZ2、TAR、JAR、001、ISO、IMG
团伙数据
此木马生成器会根据登录的用户名来管理各自生成的木马盗取的QQ账 密码,支持删除和查看功能。从数据库中的数据来看,该木马团伙目前包括管理员在内,一共有14名成员。
对比
每个生成出来的木马文件都带有UserID,前面提到木马程序通过Mysql语句将盗取的QQ账 密码插入数据库,语句中api_user就对应着UserID。不同用户生成出来的木马程序唯一的不同就是UserID,每个用户通过自己的ID生成木马,并且各自管理盗取成功的账 密码。
拦截统计
根据360安全卫士云主防的统计,该QQ粘虫木马对广东、云南、河南、湖南、安徽等地区的用户攻击数量相对较高,用户只要开启360安全卫士即可拦截预防:
盗 危害
从这款伪装成“招标文档”的QQ粘虫木马来看,其大面积对建筑房产行业的QQ群进行投递传播。从文件名上来看,木马团队对投标项目做了相关的准备工作。
1.木马制作
2.木马售卖
3.木马伪装相关“招标文档”打包
4.潜伏进建筑/房产相关QQ群,上传木马到群文件/发送群邮件
5.管理盗取到的账 密码
之后,木马团伙很可能会验证账 清洗账 窃取资料,进行撞库攻击建立行业 工库,甚至进一步进行定向攻击黑市贩卖。
说到撞库,这种攻击方式也非常普遍。不法分子把盗取或采集的账 密码以及相关资料整理生成对应的字典表,利用它去批量登录其他 站,从而得到一系列可以登录的用户账 。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!