盗号流程大致如下:
准备下木马的人一般会在网络游戏中建个小号,一般为MM号(多半是人妖),在游戏中找装备不错的大号扮MM套近乎。如果大号上当,很快就会请求加QQ。如果不幸QQ中加了此人,很快,对方会频繁施展“美人计”诱你上钩,最多见的是和你视频,你看到对方的视频一定是令色男大流口水的美女。其实,你不知道这视频全是假的,早就有伪造QQ视频的工具,对方看到上钩的网友视频一定会耻笑不已。
接下来,下木马者一般会给你传照片,如果不是查看文件扩展名的话,上当受骗就难免了。对方 传过来的是exe后辍,图标是图片文件的木马程序,绝不是什么MM写真之类。双击打开的后果,就是被盗号。
别指望什么主动防御,社会工程学欺骗是最最有效的突破手段。在我们分析这个样本时,发现不少人中的是“网络红娘”木马,该木马非常类似于“灰鸽子”,被安装服务端后,该电脑就会被远程攻击者完全控制,下面看看这个“网络红娘”木马的分析报告。
病毒概述
毒霸查出的网络红娘样本的病毒名称为Win32.Troj.Agent.401408,这是远程控制类木马病毒。它在本地创建客户端,向远程服务端传送本地计算机的情况。伺机盗取有用的信息。
行为
1.病毒运行后,产生以下病毒文件
%SystemRoot%\system32\aedl.exe %SystemRoot%\system32\aedl.dat %SystemRoot%\system32\aedl .jpg
病毒释放的实际文件名可能与此不同。它释放的jpg文件为病毒的文件名加上空格再加上jpg扩展名。
2.创建服务,以便随系统启动。
3.会在一段很短的时间内修改系统时间,影响安全软件运行。并查找弹出的卡巴斯基和微点的窗口,向窗口发送鼠标点击消息,允许病毒的操作。
4.修改系统中的数据,隐藏服务,用户无法在服务控制台中查找到此服务。
5.进入其他程序的空间,在其他程序空间内运行病毒。
6.连接远程服务端,上传本机的信息,包括计算机名、系统版本、用户名等。
7.执行服务端的指令,可以捕捉视频、捕捉音频、捕捉图像、创建文件、读取文件、删除文件、修改文件、枚举服务、修改服务属性、启动服务、删除服务、停止服务、获得当前进程列表、模块列表、终止进程、创建进程、执行命令、获取窗口的标题。
8.监视本地计算机的键盘和鼠标动作,向服务端发送这些动作。
盗取网游账号的过程
作为远程控制软件,网络红娘可以轻易盗取被入侵者计算机上的信息。如:网游帐号,银行帐号等。
首先,持有病毒服务端的人会通过各种手段向目标计算机上安装客户端。最常用的方法就是本文开头提到的那段。
客户端程序运行后会监视键盘和鼠标动作,收集客户端计算机的信息。然后,将这些信息发送给远程服务端。服务端可以发送命令查看了他的桌面,当前运行的窗口的标题,检查文件的列表,查看文件的内容。当发现了有用的信息之后,服务端就被趁机盗取。因此,明文存放到文件中的网游帐号,邮箱帐号等信息都可能被盗取。此外,服务端也可以根据目标计算机上当前打开的窗口的内容和键盘鼠标记录推测出登陆的用户名,密码等信息。