顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记
传播途径 根据网友举报和样本关联分析,此QQ粘虫木马主要是活跃在建筑/房产行业的聊天群中,从样本信息也可以发现,木马攻击的目标就是建筑房产从业者。
部分样本文件名:
通过网络搜索,部分文件名确实是曾经或正在进行招投标的工程,对相关从业者具有一定迷惑性。
样本分析
l 样本双击执行后会弹窗告警,显示“文件已损坏”来迷惑受害者,实际上盗号木马已经在后台默默执行。
l 连接Mysql
l 通过检测窗口类TxGuiFoundation是否存在,如果存在则弹出QQ账号异常的钓鱼窗口。
l 钓鱼窗口
l 通过Mysql语句将盗取的QQ账号、密码、IP、address、UserID插入数据库
尽管QQ粘虫木马的拦截查杀难度并不高,但是由于部分网友电脑“裸奔”或是没有使用专业安全软件,从木马程序内置的数据库账号密码访问其数据库可以看到,竟有不少网民中招,截至7月17日下午,该数据库统计的盗号数量已接近3000个:
在木马服务器数据库里,还有木马生成器的更新信息,从而可以获取到最新的木马变种下载地址。
生成器 l 界面
l 压缩格式
生成器支持将木马程序压缩成:R00、ZIP、TBZ、RAR、TBZ2、TAR、JAR、001、ISO、IMG
l 团伙数据
此木马生成器会根据登录的用户名来管理各自生成的木马盗取的QQ账号密码,支持删除和查看功能。从数据库中的数据来看,该木马团伙目前包括管理员在内,一共有14名成员。
l 对比
每个生成出来的木马文件都带有UserID,前面提到木马程序通过Mysql语句将盗取的QQ账号密码插入数据库,语句中api_user就对应着UserID。不同用户生成出来的木马程序唯一的不同就是UserID,每个用户通过自己的ID生成木马,并且各自管理盗取成功的账号密码。
拦截统计 根据360安全卫士云主防的统计,该QQ粘虫木马对广东、云南、河南、湖南、安徽等地区的用户攻击数量相对较高,用户只要开启360安全卫士即可拦截预防:
盗号危害 从这款伪装成“招标文档”的QQ粘虫木马来看,其大面积对建筑\房产行业的QQ群进行投递传播。从文件名上来看,木马团队对投标项目做了相关的准备工作。
1. 木马制作
2. 木马售卖
3. 木马伪装相关“招标文档”打包
4. 潜伏进建筑/房产相关QQ群,上传木马到群文件/发送群邮件
5. 管理盗取到的账号密码
之后,木马团伙很可能会验证账号\清洗账号\窃取资料,进行撞库攻击\建立行业社工库,甚至进一步进行定向攻击\黑市贩卖。
说到撞库,这种攻击方式也非常普遍。不法分子把盗取或采集的账号密码以及相关资料整理生成对应的字典表,利用它去批量登录其他网站,从而得到一系列可以登录的用户账号。
在此提醒网友,系统设置里不要勾选“隐藏已知文件类型的扩展名”,以免被文档图标的可执行程序蒙骗;如果在打开一些文件后出现了QQ重新登录的提示,应警惕这很可能是木马作祟;在聊天群共享、网盘等非可信来源下载网络资源时,应保持安全软件处于开启状态,对陌生文件进行检测,确认安全后再打开。
|
顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记的更多相关文章
- 建筑行业的新起之秀---BIM
近年来,BIM在国家在建筑行业的推进下逐渐走近人们的视线,而且BIM技术是作为建筑领域的一项新技术行业发展的越来越好,在很多的建筑场景都用到了BIM建模.施工.运维以及BIM+GIS等以BIM为 ...
- Ultimus BPM 房地产与建筑行业应用解决方案
Ultimus BPM 房地产与建筑行业应用解决方案 行业应用需求 房地产与建筑行业客户业务特点是集团化管控,多区域.多项目.多业态管理,而行业业务往往项目周期长,涉及专业复杂,客户越来越重视管理和跟 ...
- Android高级控件(五)——如何打造一个企业级应用对话列表,以QQ,微信为例
Android高级控件(五)--如何打造一个企业级应用对话列表,以QQ,微信为例 看标题这么高大上,实际上,还是运用我么拿到listview去扩展,我们讲什么呢,就是研究一下QQ,微信的这种对话列表, ...
- 个人建了一个APPCAN移动前端开发交流QQ群258213194
QQ群号:258213194,欢迎有兴趣的同志加一下. 二维码如下:
- 建筑行业如何用BPM替换OA?
2015年4月,K2正式与上海水石建筑规划设计有限公司签约. 为提高公司运作流程的效率,有效的对各流程的运作管理和优化,降低成本,同时提高公司的资金管理水平,水石公司利用K2系统作为整个公司流程的管理 ...
- [转帖] securebootthemes 挖矿病毒的说明 http://blog.netlab.360.com/msraminer-qian-fu-yi-jiu-de-wa-kuang-jiang-shi-wang-luo/ 原文为毛不给一个专杀工具呢.
MsraMiner: 潜伏已久的挖矿僵尸网络 2017 年 11 月底,我们的 DNSMon 系统监测到几个疑似 DGA 产生的恶意域名活动有异常.经过我们深入分析,确认这背后是一个从 2017 年 ...
- 一个专为电商定制的域名.shop
2.73亿元人民币获得.shop域名的经营权,使shop域名成为最高节拍价的顶级域名.虽然最终“最高节拍价”被web域名打破,但在电商届域名里shop还是王者.shop作为一个主要面向线上.线下销售实 ...
- PC缺少一个或多个网络协议 qq可登录(win10)
打开适配器连接 1打开网络适配器 2卸载microsoft 3 网络客户端 4重启
- Grunt 一个专为JavaScript提供的构建工具
新手最好找个视频来看看, Grunt的配置及使用(压缩合并js/css) - 每天都记录一点点! - CSDN博客https://blog.csdn.net/playboyanta123/articl ...
随机推荐
- C++ 日志生成 DLL
示例: #define log_dbg(format,args...) \ printf("[DBG] [%s: %s() line:%d]: "format ,__ ...
- webpack 应用笔记
1.https://segmentfault.com/a/1190000006178770 2. 组件介绍 01.webpack.prod.conf.js 在生产时 new webpack.optim ...
- Python介绍与安装
Python 是一种面向对象的解释型程序设计语言,支持支持面向过程.函数式和面向对象编程.另外,Python可以在Windows.UNIX等多个操作系统上使用. 为什么学编程 编程是一种工具,可以实现 ...
- Python单元测试unittest【转自https://www.cnblogs.com/feng0815/p/8045850.html】
[转自https://www.cnblogs.com/feng0815/p/8045850.html] Python中有一个自带的单元测试框架是unittest模块,用它来做单元测试,它里面封装好了一 ...
- 大数据入门到精通6---spark rdd reduce by key 的使用方法
1.前期数据准备(同之前的章节) val collegesRdd= sc.textFile("/user/hdfs/CollegeNavigator.csv")val header ...
- c++ 中的数字和字符串的转换
理由:一直忘记数字型的字符串和数字之间的转换,这次总结一下,以便后面再次用到. 其实 C++ 已经给我们写好了相应的函数,直接拿来用即可 QA1:如何把一个数字转换为一个数字字符串?(这个不是很常用) ...
- as3.0画直线
import flash.display.Shape; import flash.events.MouseEvent; import flash.geom.Point; var line:Shape; ...
- FortiGate设置E-mail告警
1.配置邮件服务器 2.配置告警
- pythone函数基础(10)MD5加密
导入hashlib模块import hashlibs='yulin123456's.encode()#把数字转换成bytes类型m=hashlib.md5(s.encode())print(m.hex ...
- eclipse-查看继承层次图/继承实现层次图
阅读代码时,如果想要看某个类继承了哪些类.实现了哪些接口.哪些类继承了这个类,恰巧这个类的继承实现结构又比较复杂,那么如果对开发工具不是很熟练,这个需求是比较难以实现的.eclipse中的type h ...