QQ遭遇美人計 好色導致網遊裝備丟

玩兒網遊的兄弟們注意了，最近發現下木馬者廣施美人計，不少網友不慎墜入圈套，唉，直落個財色雙丟，人財兩空，好不悽慘。

盜號流程大致如下：

　　準備下木馬的人一般會在網絡遊戲中建個小號，一般為MM號（多半是人妖），在遊戲中找裝備不錯的大號扮MM套近乎。如果大號上當，很快就會請求加QQ。如果不幸QQ中加了此人，很快，對方會頻繁施展“美人計”誘你上鈎，最多見的是和你視頻，你看到對方的視頻一定是令色男大流口水的美女。其實，你不知道這視頻全是假的，早就有偽造QQ視頻的工具，對方看到上鈎的網友視頻一定會恥笑不已。

　　接下來，下木馬者一般會給你傳照片，如果不是查看文件擴展名的話，上當受騙就難免了。對方 傳過來的是exe後輟，圖標是圖片文件的木馬程序，絕不是什麼MM寫真之類。雙擊打開的後果，就是被盜號。

　　別指望什麼主動防禦，社會工程學欺騙是最最有效的突破手段。在我們分析這個樣本時，發現不少人中的是“網絡紅娘”木馬，該木馬非常類似於“灰鴿子”，被安裝服務端後，該電腦就會被遠程攻擊者完全控制，下面看看這個“網絡紅娘”木馬的分析報告。

　　病毒概述

　　毒霸查出的網絡紅娘樣本的病毒名稱為t.401408，這是遠程控制類木馬病毒。它在本地創建客户端，向遠程服務端傳送本地計算機的情況。伺機盜取有用的信息。

　　行為

　　1.病毒運行後，產生以下病毒文件

%SystemRoot%system32 %SystemRoot%system32 %SystemRoot%system32aedl .jpg

　　病毒釋放的實際文件名可能與此不同。它釋放的jpg文件為病毒的文件名加上空格再加上jpg擴展名。

　　2.創建服務，以便隨系統啟動。

　　3.會在一段很短的時間內修改系統時間，影響安全軟件運行。並查找彈出的卡巴斯基和微點的窗口，向窗口發送鼠標點擊消息，允許病毒的操作。

　　4.修改系統中的數據，隱藏服務，用户無法在服務控制枱中查找到此服務。

　　5.進入其他程序的空間，在其他程序空間內運行病毒。

　　6.連接遠程服務端，上傳本機的信息，包括計算機名、系統版本、用户名等。

　　7.執行服務端的指令，可以捕捉視頻、捕捉音頻、捕捉圖像、創建文件、讀取文件、刪除文件、修改文件、枚舉服務、修改服務屬性、啟動服務、刪除服務、停止服務、獲得當前進程列表、模塊列表、終止進程、創建進程、執行命令、獲取窗口的標題。

　　8.監視本地計算機的鍵盤和鼠標動作，向服務端發送這些動作。

　　盜取網遊賬號的過程

　　作為遠程控制軟件，網絡紅娘可以輕易盜取被入侵者計算機上的信息。如：網遊帳號，銀行帳號等。

　　首先，持有病毒服務端的人會通過各種手段向目標計算機上安裝客户端。最常用的方法就是本文開頭提到的那段。

　　客户端程序運行後會監視鍵盤和鼠標動作，收集客户端計算機的信息。然後，將這些信息發送給遠程服務端。服務端可以發送命令查看了他的桌面，當前運行的窗口的標題，檢查文件的列表，查看文件的內容。當發現了有用的信息之後，服務端就被趁機盜取。因此，明文存放到文件中的網遊帳號，郵箱帳號等信息都可能被盜取。此外，服務端也可以根據目標計算機上當前打開的窗口的內容和鍵盤鼠標記錄推測出登陸的用户名，密碼等信息。