木马伪装“刷单任务” 劫持QQ语音暗中盗号
近日,360 QVM团队发现一类QQ盗号木马异常活跃。该木马通过QQ语音(QTalk)在网购刷单人群中大肆传播,并劫持Qtalk的文件隐蔽运行,通过弹出虚假的QQ语音登录框实施盗号。
此木马限于QTalk用户之间传播,淘宝刷单者常“驻扎”在QQ语音的房间内,等待接单。而不法分子则伪装为淘宝卖家,与刷单者加为QQ好友,并向其发送由木马伪装的“刷单任务”,伺机窃取刷单人群的QQ账号和密码。
360QVM 团队提醒广大网友:系统设置一定要显示文件扩展名,不要轻易被文档或图片、表格等图标的文件迷惑,而是要通过文件扩展名判断真正的文件类型。360安全卫 士和杀毒软件都可以全面拦截查杀新型的QQ语音盗号木马,当用户接收文件时如果360发出报警提示,应按照提示清除木马。
“QQ语音”盗号木马技术分析
一、样本行为描述
木马伪装成淘宝刷单常见的doc文件,运行后释放盗号dll,然后通过劫持QTalk软件的DataReport.dll文件进行盗号、发包等操作。
二、传播途径
根据木马劫持文件的目录,可以看出木马仅限于QTalk用户之间的传播,于是我们回访了受害用户,得知他们是通过QQ语音软件在某房间接单,专门为淘宝卖家刷单,不料遇到了骗子,接收到了木马文件,导致QQ被盗。
三、详细分析
l伪装的doc文件分析
1、 木马首先通过注册表判断用户是否安装了QTalk
若没有查到注册表则通过遍历进程来判断是否安装了QTalk
2、 获取软件安装路径
3、 等待1分钟后遍历进程,查找qtalk.exe
4、 结束当前的QTalk.exe,以便替换需要加载的模块文件
5、 在%appdata%目录下释放劫持文件,并以随机命命名
然后替换bin目录下的DataReport.dll文件
至此,主程序运行完成。由于程序强制结束了QTalk.exe,那么此时用户就会重新打开QTalk.exe,然后加载木马释放的DataReport.dll文件。
lDataReport.dll文件分析
1、 对比正常DataReport.dll(左)和木马释放出来的DataReport.dll(右)文件, 木马
释放的dll文件没有签名,且文件要比正常的大很多
2、 两个文件的导出函数完全相同。
但是木马释放出来的文件的导出函数只是调用了一个空函数
3、 木马dll主要用来仿造密码输入框(下图左),在正常的登录界面上覆盖假的文本输入
框,一般很难看出来
4、 点击登录后,判断是否存在QTalk主界面窗口
若存在主界面窗口(成功登录),则发送账户密码,这样就能保证盗取的账户密码是有
效的。
5、 将盗取的账户密码分别发送到两个服务器上,
四、防范策略:
1、妥善保管好QQ账号和密码,不要轻信刷单、刷信誉等业务
2、 面对QQ好友传来的文件,通过如下方式判断其是否带毒:
(1)打开“计算机”或“我的电脑”,点击菜单栏的“工具”菜单,选择“文件夹选项”,
打开“文件夹选项”对话框后点击“查看”选项卡,在“高级设置”里去掉“隐藏已知文件类型的扩展名”前面的“√”。
(2)查看接收的文件类型和图标,若图标是word、excel、ppt、txt、图片、文件夹、
音频等文件类型的图标,而扩展名为.exe、.scr,这样的文件基本就是由木马伪装的,千万不要双击!
(3)开启安全软件实时防护,在接收文件时进行安全检测,确认无风险再打开。
木马伪装“刷单任务” 劫持QQ语音暗中盗号相关推荐
- mt管理器破解QQ语音口令红包
qq语音口令红包怎么抢? 注:因QQ更新导致不同版本第7步有问题请在评论区回复! 2018/7/1 此BUG目前已被腾讯修复,但文字口令红包还可用同样方法破解!!! 对于这种红包,想要红包一定要读出红 ...
- java实现windows下amr转换为mp3(可实现微信语音和qq语音转换)
最近做一个项目需要将微信的语音文件放在页面进行播放,查了好多资料发现,web页面直接播放并没有一个好的解决方案,于是就想到了先将amr文件转换成易于在页面播放的mp3文件,然后在进行播放,现在将amr ...
- Dell Inspiron 15R - QQ语音时麦克风没有声音的设置办法
右键扬声器/耳机(任务栏的小喇叭图标)->播放设备(P),禁用通讯耳机: 右键扬声器/耳机(任务栏的小喇叭图标)->录音设备(R),禁用麦克风/输入端: 对于QQ语音的设置 QQ -> ...
- Auto.js修改QQ语音+破解闪照
利用大柒悬浮按钮模板,做了一个能够修改QQ发送语音和闪照破解的脚本,为了能够使用,打包成apk文件. 流程介绍: 教程分为四部分,悬浮按钮的套用,QQ语音修改,闪照破解,主界面 一.悬浮按钮 悬浮按钮 ...
- 笔记本系统摄像头打不开/识别不到/(腾讯会议/QQ语音)等第三方无法正常使用摄像头的解决办法
问题简述: 1.笔记本自带的相机显示找不到设备,错误代码0xa00f4244,打开设备管理器,其中摄像头显示黄色感叹号,设备状态显示驱动程序有问题. 2.解决上述问题后,自带的相机功能正常使用,但第三 ...
- 【木马分析】远控盗号木马伪装成850Game作恶
很喜欢配图 前言 近期,360QVM团队捕获到一类在网上广泛传播的远控盗号木马,该木马伪装为正规棋牌游戏850Game的安装程序,在伪造的钓鱼网站(如:www.gam850.com)上挂马并诱骗用户下 ...
- 仿QQ语音变声功能实现
版权声明:转载必须注明本文转自张鹏辉的博客: http://blog.csdn.net/qingtiangg 大家好,这是我从业以来第一篇博客,给大家拜个晚年,祝大家鸡年大吉,幸福美满.事业有成.好了 ...
- 浙江数码代工M301H 免拆通刷_卡刷固件包(语音OK)
浙江数码代工M301H 免拆通刷_卡刷固件包(语音OK) 固件特点: 1.修改dns,三网通用: 2.开放原厂固件屏蔽的市场安装和u盘安装apk: 3.无开机广告,无系统更新,不在被强制升级: 4.大 ...
- android qq语音按钮,科技教程:如何在手机QQ中使用新版QQ语音进度条功能?
如今越来越多的小伙伴对于如何在手机QQ中使用新版QQ语音进度条功能?这方面的问题开始感兴趣,看似平静的每一天,在每个人身上都在发生着各种各样的故事,因为大家现在都是想要了解到此类的信息,那么既然现在大 ...
最新文章
- Python3 命名规范
- mysql把sql文件导入到数据库
- 高度平衡二叉树的构建_平衡二叉树建立及其增删改查(JAVA)
- Anaconda套件,精簡版miniconda
- 关于response格式转换
- 比特币的双花和51%算力攻击
- matlab 二元函数的画法
- 不兼容惹的祸,Calibre 作者拒绝迁移至 Python 3
- 目前游戏行业内部主要几款游戏引擎的技术对比
- FILCO连接WIN10出现PIN问题
- 周六研易01:深入研究甲木选用法
- python爬新闻并保存到csv_python爬取信息并保存至csv
- 年度新旗舰南卡Runner Pro4骨传导耳机评测,解放双耳,运动不设限
- Jenkins 部署项目出现 Failed to connect to repository : Command git ls-remote -h http://gitlab. 128
- 评论中发emoji表情 iOS
- 基于OSGi的企业级开发框架实践——发布和使用分布式OSGi服务
- 安装docker桌面版(Windows)
- 基于uniapp校园帮外卖跑腿快递代拿平台设计【还可发布到小程序和HTML5】
- Netty进阶:粘包与半包-解决方案
- Oracle I/O问题解析