盜號流程大致如下:
準備下木馬的人一般會在網路遊戲中建個小號,一般為MM號(多半是人妖),在遊戲中找裝備不錯的大號扮MM套近乎。如果大號上當,很快就會請求加QQ。如果不幸QQ中加了此人,很快,對方會頻繁施展“美人計”誘你上鉤,最多見的是和你視訊,你看到對方的視訊一定是令色男大流口水的美女。其實,你不知道這視訊全是假的,早就有偽造QQ視訊的工具,對方看到上鉤的網友視訊一定會恥笑不已。
接下來,下木馬者一般會給你傳照片,如果不是檢視副檔名的話,上當受騙就難免了。對方 傳過來的是exe後輟,圖示是圖片檔案的木馬程式,絕不是什麼MM寫真之類。雙擊開啟的後果,就是被盜號。
別指望什麼主動防禦,社會工程學欺騙是最最有效的突破手段。在我們分析這個樣本時,發現不少人中的是“網路紅娘”木馬,該木馬非常類似於“灰鴿子”,被安裝服務端後,該電腦就會被遠端攻擊者完全控制,下面看看這個“網路紅娘”木馬的分析報告。
病毒概述
毒霸查出的網路紅娘樣本的病毒名稱為t.401408,這是遠端控制類木馬病毒。它在本地建立客戶端,向遠端服務端傳送本地計算機的情況。伺機盜取有用的資訊。
行為
1.病毒執行後,產生以下病毒檔案
%SystemRoot%system32 %SystemRoot%system32 %SystemRoot%system32aedl .jpg
病毒釋放的實際檔名可能與此不同。它釋放的jpg檔案為病毒的檔名加上空格再加上jpg副檔名。
2.建立服務,以便隨系統啟動。
3.會在一段很短的時間內修改系統時間,影響安全軟體執行。並查詢彈出的卡巴斯基和微點的視窗,向視窗傳送滑鼠點選訊息,允許病毒的操作。
4.修改系統中的資料,隱藏服務,使用者無法在服務控制檯中查詢到此服務。
5.進入其他程式的空間,在其他程式空間內執行病毒。
6.連線遠端服務端,上傳本機的資訊,包括計算機名、系統版本、使用者名稱等。
7.執行服務端的指令,可以捕捉視訊、捕捉音訊、捕捉影象、建立檔案、讀取檔案、刪除檔案、修改檔案、列舉服務、修改服務屬性、啟動服務、刪除服務、停止服務、獲得當前程序列表、模組列表、終止程序、建立程序、執行命令、獲取視窗的標題。
8.監視本地計算機的鍵盤和滑鼠動作,向服務端傳送這些動作。
盜取網遊賬號的過程
作為遠端控制軟體,網路紅娘可以輕易盜取被入侵者計算機上的資訊。如:網遊帳號,銀行帳號等。
首先,持有病毒服務端的人會通過各種手段向目標計算機上安裝客戶端。最常用的方法就是本文開頭提到的那段。
客戶端程式執行後會監視鍵盤和滑鼠動作,收集客戶端計算機的資訊。然後,將這些資訊傳送給遠端服務端。服務端可以傳送命令查看了他的桌面,當前執行的視窗的標題,檢查檔案的列表,檢視檔案的內容。當發現了有用的資訊之後,服務端就被趁機盜取。因此,明文存放到檔案中的網遊帳號,郵箱帳號等資訊都可能被盜取。此外,服務端也可以根據目標計算機上當前開啟的視窗的內容和鍵盤滑鼠記錄推測出登陸的使用者名稱,密碼等資訊。