今天接到很多起投诉说QQ里接到了Qq好友发来的类似“极速网络公司招聘的消息”如图
这是利用社会工程学盗号的一个很好例子。 黑客会利用QQ尾巴病毒使中毒者会在往群里或者给他的好友发送这样的信息 如果你是个大四的毕业生或者是急于求得个工作的“待业青年”,出于好奇,你加了那个QQ为714220的好友。当你因好奇而去查询此号码的资料的时候,会看到如下签名内容:
当然有人还会去乖乖的下这个jc.rar的文件 下来之后一看,压缩包里面是个exe文件
有点安全意识的人可能会用杀毒软件扫描一下这个压缩包。如果你比较幸运,杀毒软件正好对他报警了,那么你便逃脱了此劫;但如果你的杀毒软件没有报警呢?可能你会继续解压缩,运行里面的exe文件吧! 运行了里面的exe文件以后,就得“恭喜”你了!因为你成功地中了黑客设置的圈套。是你的好奇心和薄弱的安全意识一步一步使你走进了这个“陷阱”!
现在我们就来看看黑客设置的到底是个什么“陷阱”
File: 教程.Exe Size: 33063 bytes MD5: 2CBEF55713CAD85EC3937BF71818A069 SHA1: 972D2364D5C87BBB9381FA9738D10F937BD92A31 CRC32: DD8114DD
这是一个盗取QQ帐号的木马程序,教程.exe运行后,释放如下文件 %Program Files%\Internet Explorer\PLUGINS\SysWin74.Jmp %Program Files%\Internet Explorer\PLUGINS\WinSys84.Sys %Program Files%\Internet Explorer\Info_Ms.Sys E:\autorun.exe E:\autorun.inf
添加如下键值以达到开机自动启动的作用 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks] {{1AB09B3F-A6D0-4B55-B87D-264934EBEAED}}{%Program Files%\Internet Explorer\PLUGINS\WinSys84.Sys} [] {{0F7A277A-4B2A-4673-8CC0-957C72ECFC6E}}{%Program Files%\Internet Explorer\Info_Ms.Sys} []%Program Files%\Internet Explorer\PLUGINS\WinSys84.Sys
会注入Explorer进程,并设置全局钩子监控QQ登陆窗口,当用户登陆QQ时,把自身注入到QQ中窃取密码。 %Program Files%\Internet Explorer\Info_Ms.Sys会连接网络,接受QQ尾巴发送的消息内容之后WinSys84.Sys还会控制Explorer.exe下载木马群木马群下载完毕以后 sreng日志如下 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks] {{1AB09B3F-A6D0-4B55-B87D-264934EBEAED}}{%Program Files%\Internet Explorer\PLUGINS\WinSys84.Sys} [] {{E3F426F6-8634-42A5-A29E-BC694A88FB7D}}{C:\WINDOWS\system32\xyupri0.dll} [] {{2598FF45-DA60-F48A-BC43-10AC47853D52}}{C:\WINDOWS\system32\rarjbpi.dll} [] {{A393C2CF-1C26-4309-9765-13B7FDC0F200}}{C:\WINDOWS\system32\mypern0.dll} [] {{2960356A-458E-DE24-BD50-268F589A56A2}}{C:\WINDOWS\system32\avwlbmn.dll} [] {{334345F1-DACF-3452-CB7D-4620F34A1533}}{C:\WINDOWS\system32\rsztcpm.dll} [] {{57D81718-1314-5200-2597-587901018075}}{C:\WINDOWS\system32\kaqhezy.dll} [] {{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}}{C:\WINDOWS\system32\kvdxcma.dll} [] {{66650011-3344-6688-4899-345FABCD1566}}{C:\WINDOWS\system32\ratbfpi.dll} [] {{4859245F-345D-BC13-AC4F-145D47DA34F4}}{C:\WINDOWS\system32\avzxdmn.dll} [] {{18847374-8323-FADC-B443-4732ABCD3781}}{C:\WINDOWS\system32\sidjazy.dll} [] {{28907901-1416-3389-9981-372178569982}}{C:\WINDOWS\system32\kawdbzy.dll} [] {{0F7A277A-4B2A-4673-8CC0-957C72ECFC6E}}{%Program Files%\Internet Explorer\Info_Ms.Sys} [] {{444D7AB0-639D-445F-9143-3B3FFB2A7F39}}{C:\WINDOWS\system32\dh3vpw0.dll} []
清除办法: 1.安全模式下删除 %Program Files%\Internet Explorer\PLUGINS\SysWin74.Jmp %Program Files%\Internet Explorer\PLUGINS\WinSys84.Sys %Program Files%\Internet Explorer\Info_Ms.Sys E:\autorun.exe E:\autorun.inf 并利用sreng 删除对应的启动项目
2.C:\WINDOWS\system32\xyupri0.dll等木马群参考之前的随机7位数dll木马清除办法即可
由以上分析可以看出,黑客目前的盗号手段层出不穷,已经开始广泛利用社会工程学手段骗取人们的信任,让你一步步走入他精心设置好的陷阱之中。在此提醒广大网友在使用即时通讯工具进行交流一定注意以下几点: 1.一定要增强安全意识,不要相信任何形式的广告,点歌,求职,邀请等信息,尤其是当这些信息中出现了某些链接网址或者下载信息时更需注意。 2.不要轻易接受别人给你的文件,即便是好友给你的文件,也要问清楚再接受。接受来的文件一定要使用杀毒软件进行杀毒。如果接受来的文件为exe,scr等可执行文件更需注意。最好不要轻易运行这类可执行文件。最后希望大家时时保持警惕之心,控制自己的“好奇心”,提高自己的安全意识,尽量规避网络上的未知风险。
|