QQ粘虫是已经流行多年的盗号木马,它会伪装QQ登陆界面,诱骗受害者在钓鱼窗口提交账号密码。近期,360QVM引擎团队发现一支专门攻击建筑行业人群的QQ粘虫变种,它伪装为招标文档,专门在一些建筑/房产行业聊天群里传播。
由于此木马样本带有其服务器数据库信息,木马生成器和一个小有规模的幕后团伙也因此而暴露出来。

传播途径

根据网友举报和样本关联分析,此QQ粘虫木马主要是活跃在建筑/房产行业的聊天群中,从样本信息也可以发现,木马攻击的目标就是建筑房产从业者。
部分样本文件名:
文件名
云南腾冲至猴桥高速公路PPP项目招标文件.exe
一二标段doc.exe
黑龙江项目工程《一标段》招标文件.doc.exe
汉都新苑4标-招标文件doc.exe
嘉山大道东延等六条道路道排工程doc.exe
E2标段投标扫描件doc.exe
地铁2号线一期工程2标段doc.exe
通过网络搜索,部分文件名确实是曾经或正在进行招投标的工程,对相关从业者具有一定迷惑性。

样本分析

文件名
(一标段)招标文件.exe
文件大小
14728Kb
l 样本双击执行后会弹窗告警,显示“文件已损坏”来迷惑受害者,实际上盗号木马已经在后台默默执行。
 
l 连接Mysql

l 通过检测窗口类TxGuiFoundation是否存在,如果存在则弹出QQ账号异常的钓鱼窗口。
l 钓鱼窗口

l 通过Mysql语句将盗取的QQ账号、密码、IP、address、UserID插入数据库

尽管QQ粘虫木马的拦截查杀难度并不高,但是由于部分网友电脑“裸奔”或是没有使用专业安全软件,从木马程序内置的数据库账号密码访问其数据库可以看到,竟有不少网民中招,截至7月17日下午,该数据库统计的盗号数量已接近3000个:

在木马服务器数据库里,还有木马生成器的更新信息,从而可以获取到最新的木马变种下载地址。

生成器

界面

压缩格式
生成器支持将木马程序压缩成:R00、ZIP、TBZ、RAR、TBZ2、TAR、JAR、001、ISO、IMG
团伙数据
此木马生成器会根据登录的用户名来管理各自生成的木马盗取的QQ账号密码,支持删除和查看功能。从数据库中的数据来看,该木马团伙目前包括管理员在内,一共有14名成员。

对比
每个生成出来的木马文件都带有UserID,前面提到木马程序通过Mysql语句将盗取的QQ账号密码插入数据库,语句中api_user就对应着UserID。不同用户生成出来的木马程序唯一的不同就是UserID,每个用户通过自己的ID生成木马,并且各自管理盗取成功的账号密码。

拦截统计

根据360安全卫士云主防的统计,该QQ粘虫木马对广东、云南、河南、湖南、安徽等地区的用户攻击数量相对较高,用户只要开启360安全卫士即可拦截预防:
 

盗号危害

从这款伪装成“招标文档”的QQ粘虫木马来看,其大面积对建筑\房产行业的QQ群进行投递传播。从文件名上来看,木马团队对投标项目做了相关的准备工作。
1. 木马制作
2. 木马售卖
3. 木马伪装相关“招标文档”打包
4. 潜伏进建筑/房产相关QQ群,上传木马到群文件/发送群邮件
5. 管理盗取到的账号密码
之后,木马团伙很可能会验证账号\清洗账号\窃取资料,进行撞库攻击\建立行业社工库,甚至进一步进行定向攻击\黑市贩卖。
说到撞库,这种攻击方式也非常普遍。不法分子把盗取或采集的账号密码以及相关资料整理生成对应的字典表,利用它去批量登录其他网站,从而得到一系列可以登录的用户账号。

在此提醒网友,系统设置里不要勾选“隐藏已知文件类型的扩展名”,以免被文档图标的可执行程序蒙骗;如果在打开一些文件后出现了QQ重新登录的提示,应警惕这很可能是木马作祟;在聊天群共享、网盘等非可信来源下载网络资源时,应保持安全软件处于开启状态,对陌生文件进行检测,确认安全后再打开。

顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记的更多相关文章

  1. 建筑行业的新起之秀---BIM

       近年来,BIM在国家在建筑行业的推进下逐渐走近人们的视线,而且BIM技术是作为建筑领域的一项新技术行业发展的越来越好,在很多的建筑场景都用到了BIM建模.施工.运维以及BIM+GIS等以BIM为 ...

  2. Ultimus BPM 房地产与建筑行业应用解决方案

    Ultimus BPM 房地产与建筑行业应用解决方案 行业应用需求 房地产与建筑行业客户业务特点是集团化管控,多区域.多项目.多业态管理,而行业业务往往项目周期长,涉及专业复杂,客户越来越重视管理和跟 ...

  3. Android高级控件(五)——如何打造一个企业级应用对话列表,以QQ,微信为例

    Android高级控件(五)--如何打造一个企业级应用对话列表,以QQ,微信为例 看标题这么高大上,实际上,还是运用我么拿到listview去扩展,我们讲什么呢,就是研究一下QQ,微信的这种对话列表, ...

  4. 个人建了一个APPCAN移动前端开发交流QQ群258213194

    QQ群号:258213194,欢迎有兴趣的同志加一下. 二维码如下:

  5. 建筑行业如何用BPM替换OA?

    2015年4月,K2正式与上海水石建筑规划设计有限公司签约. 为提高公司运作流程的效率,有效的对各流程的运作管理和优化,降低成本,同时提高公司的资金管理水平,水石公司利用K2系统作为整个公司流程的管理 ...

  6. [转帖] securebootthemes 挖矿病毒的说明 http://blog.netlab.360.com/msraminer-qian-fu-yi-jiu-de-wa-kuang-jiang-shi-wang-luo/ 原文为毛不给一个专杀工具呢.

    MsraMiner: 潜伏已久的挖矿僵尸网络 2017 年 11 月底,我们的 DNSMon 系统监测到几个疑似 DGA 产生的恶意域名活动有异常.经过我们深入分析,确认这背后是一个从 2017 年 ...

  7. 一个专为电商定制的域名.shop

    2.73亿元人民币获得.shop域名的经营权,使shop域名成为最高节拍价的顶级域名.虽然最终“最高节拍价”被web域名打破,但在电商届域名里shop还是王者.shop作为一个主要面向线上.线下销售实 ...

  8. PC缺少一个或多个网络协议 qq可登录(win10)

    打开适配器连接 1打开网络适配器   2卸载microsoft  3 网络客户端   4重启

  9. Grunt 一个专为JavaScript提供的构建工具

    新手最好找个视频来看看, Grunt的配置及使用(压缩合并js/css) - 每天都记录一点点! - CSDN博客https://blog.csdn.net/playboyanta123/articl ...

随机推荐

  1. nginx 301跳转

    server { server_name xxxx.com; return 301 $scheme://www.xxxx.com$request_uri; }

  2. SpringMvc 使用Thumbnails压缩图片

    ```java @PostMapping(value = "/upLoadFile") @ApiOperation(value = "上传文件") public ...

  3. Mac 系统下 mysql 的安装与配置

    1.mysql 的安装 1)官网下载 mysql 安装包:http://www.mysql.com/downloads/ 2)下载后解压打开安装包,点击 pkg 文件进行安装 3)注意:最后一步弹窗会 ...

  4. 6.Python enumerate 特性

    enumerate()可参考: list1 = ["这", "是", "一个", "测试"] for index,ite ...

  5. Object.create() vs new SomeFunction() in javascript

    Object.create builds an object that inherits directly from the one passed as its first argument. Wit ...

  6. rpm包安装的nginx热升级

    文章目录一.本地环境基本介绍二.yum升级命令说明三.升级好nginx后如何不中断业务切换3.1.nginx相关的信号说明3.2.在线热升级nginx可执行文件程序一.本地环境基本介绍本次测试环境,是 ...

  7. Swagger注解

    swagger注解说明  1.与模型相关的注解,用在bean上面 @ApiModel:用在bean上,对模型类做注释: @ApiModelProperty:用在属性上,对属性做注释 2.与接口相关的注 ...

  8. Spark SQL例子

    综合案例分析 现有数据集 department.json与employee.json,以部门名称和员工性别为粒度,试计算每个部门分性别平均年龄与平均薪资. department.json如下: {&q ...

  9. 149. Max Points on a Line同一条线上的最多点数

    [抄题]: Given n points on a 2D plane, find the maximum number of points that lie on the same straight ...

  10. PHP+ajax实现二级联动

    <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8&quo ...