防止Q币被盗取的研究

楼主^#

更多发布于：2011-12-24 17:57

[] 1


	目前，有款名为“Q币大盗”的木马程序在网上疯传，它能盗取用户的qq账号、密码、Q点、Q币，对照下面的内容看看你是否中招了。是否存在这些现象： 1.在登陆QQ 的机器上，QQ 会莫名其妙的退出； 2.QQ 有的时候会弹出彩色的异常登录提示框，提示用户输入验证码； 3.QQ 的Bin目录下出现MSIMG32.dll、SVulStrong.dat 等文件。如果有这些现象的话，就要提高警惕了。很可能遭遇以盗Q 币为主要目的的盗号木马，这个木马是采用 UPX 加壳技术，可以通过钩子技术盗取 qq的用户名和密码；查询用户 QQ 账户信息，查询 Q 币或 Q 点，余额不为 0 的，就盗号，将 QQ 账户和密码发到病毒服务器。木马特点： 1.释放虚假的系统文件 msimg32.dll到qq 目录中，使得QQ 自动加载，运行病毒。 2.然后通过挂接键盘输入来截取用户输入的帐号密码，同时修改 QQ 安全保护相关代码，破坏 qq的密码保护机制。 3.获得账号密码之后，后台偷偷查询 Q 币、Q 点信息，再欺骗用户填写验证码。将Q 点或Q 币余额不为零的帐号密码发送到黑客服务器。 4.病毒突破了 qq 的密码保护，在同类病毒中尚不多见。另外值得注意的就是弹出QQ异常框。可参考下图可以识别“帐号存在异常”对话框的真假，其中彩色验证码图片为假：图片：28_3710_4c473e501825be4.jpg 危害： 1、木马会检测 qq，如果存在的话则结束 qq，并且释放病毒文件到 QQ的 Bin目录； 2、如果没有找到 QQ.exe 进程，它会通过注册表判断当前系统是否已经安装 qq，并尝试通过注册表获取 QQ安装路径； 3、删除QQ相关记录信息，使得QQ 无法自动登录，需手动输入密码。 A.如果找到 QQ.exe 进程，查找 QQ 安装目录的 bin 目录下是否存在AutoLogin.dat、msimg32.dll，存在则删除相应文件。 5、在QQ安装目录的bin目录下创建文件msimg32.dll （伪造系统文件）和SVulStrong.dat文件，并设置文件属性为系统隐藏。注：QQ启动过程中会优先启动自身目录下的 msimg32.dll。伪造的msimg32.dll文件，释放到 qq 的安装目录下会使得 qq 运行时自动加载此文件。当用户启动 QQ 后被 QQ 加载运行，并执行以下行为： 1.加载系统真正的 msimg32.dll 文件 2.修改 qq 载入的文件，从而 hook 关键函数，获得账号密码。 a.使用多种方法干扰 QQ 帐号保护模块的正常运行，截取 QQ 帐号。 b.在 MSIMG32.dll 内存块中搜索用户输入的 QQ 密码。 3.传输 QQ 账号密码，查询 q 币和 q 点信息。总之，上网一定要注意保护各种账号、密码的安全。