來自IT的警匪片 賬號盜竊答案的追捕 文/simeon （注本文應(yīng)國內(nèi)電腦愛好者雜志而應(yīng)急寫的一篇稿件） 隔著辦公室的玻璃窗，可以看到網(wǎng)監(jiān)大隊(duì)監(jiān)控室里忙碌的干警們，近來，網(wǎng)絡(luò)中出現(xiàn)大規(guī)模的掛馬盜竊用戶賬戶信息案件引起了省廳的高度重視，委派從事了多年反黑反病毒工作的老刀現(xiàn)場坐鎮(zhèn)部署指揮，現(xiàn)在，他正在召集大家部署一場反盜竊行動。同樣，XX大夏的密室里，幾位***也在盤算下一步該怎么下手。一場“警匪”大戰(zhàn)馬上打響。 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

?

揭開絕密檔案 盜號詭計(jì)全揭穿 老刀坐鎮(zhèn)自然不會打不準(zhǔn)備之仗，他帶來了技術(shù)專家對近期盜號案件監(jiān)控記錄的分析結(jié)果，打開絕密檔案的光盤，通過大屏幕給大家展示下一步的對手，幾位盜竊賬號的頭號大盜被一一分析。

?

大盜一號：金狐QQ大盜（見圖1） 老刀：QQ賬號和密碼是網(wǎng)民接觸最多的案例，現(xiàn)在盜竊的技術(shù)普及率最高，網(wǎng)上有很多盜QQ號碼的軟件，金狐QQ大盜2008就是其中的最典型的一款，下面來看它的盜號伎倆。 <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /> 圖1金狐QQ大盜 1.下載并配置金狐QQ大盜 首先，在空間收信中輸入網(wǎng)站地址，例如本例中的“http://www.yiliaokeji.net/qq.asp”，其中QQ.asp是“金狐QQ大盜<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />2008”軟件提供的，將其上傳到支持運(yùn)行asp的網(wǎng)站空間即可，選中“空間收信”，則可以通過網(wǎng)站來收取盜取的QQ號碼和用戶密碼；在郵件收信中，需要設(shè)置收信信箱、發(fā)信信箱、發(fā)信賬號、發(fā)信密碼和郵箱Smtp。 2.測試程序正確配置與否 在程序主界面中單擊“發(fā)信測試”，如圖2所示，系統(tǒng)會自動彈出網(wǎng)站發(fā)信完畢；然后就可以查看網(wǎng)站能否生成測試文件以及收信郵箱能否接受到測試郵件。然后登錄收信郵箱，如果配置無誤，則可以直接看到測試郵件，打開后可以看到郵件標(biāo)題為“阿童木QQ終結(jié)者”，郵件內(nèi)容為“測試成功”，如圖3所示，這表明收信郵件沒有問題，能夠正常接收盜取的QQ號碼和密碼。現(xiàn)在直接在IE中打開網(wǎng)站地址“http://www.yiliaokeji.net/qq.asp”如圖4所示，在網(wǎng)頁中顯示為“jhQQ”表明程序正常運(yùn)行，可以實(shí)現(xiàn)收信功能。 圖2 圖3 圖4 ? 3.生成QQ盜號密碼 在金狐QQ大盜2008程序主界面中單擊“生成***”，程序會提示讓用戶選擇***文件的保存路徑，選擇路徑完畢即可生成QQ盜號***。將金狐QQ大盜2008所生成的QQ***上傳到肉雞上，如果肉雞上有QQ，則雙擊執(zhí)行該***程序，或者通過后臺開啟的shell來執(zhí)行，該程序執(zhí)行完畢后無任何提示。 4.收獲QQ賬號和密碼 直接到收信網(wǎng)站目錄下打開qq2008jh.txt，如圖5所示，即可查看用戶qq號碼和密碼，如果通過收信郵箱，則可以直接登錄收信郵箱進(jìn)行查看。 圖5 大盜一號：冷楓網(wǎng)馬（見圖7） 老刀：相比丟失QQ賬號的損失，游戲賬號和網(wǎng)銀賬戶的丟失給大眾帶來的危害更大，下面這個就是此類案件的代表，冷楓網(wǎng)馬。使用它相對簡單一些，但危害更大，主要是網(wǎng)頁掛馬，讓人防不勝防，下面來展示它的盜號過程。 1.運(yùn)行“冷楓網(wǎng)馬綜合版生成器”，系統(tǒng)出來一個登錄窗口，必須具有密碼和用戶名才能使用，按照提示進(jìn)行注冊，如圖6所示，按照要求進(jìn)行注冊。注冊成功后，使用注冊的用戶名和密碼登錄“冷楓網(wǎng)馬綜合版生成器”，如圖7所示，在下載地址中輸入QQ***或者其它***的下載地址，在本例中輸入"http://www.antian365.com/test.exe"，然后根據(jù)漏洞類別選擇生成網(wǎng)頁***。 ?圖6 圖7 老刀：現(xiàn)在很多軟件都是通過VIP來進(jìn)行收費(fèi)，免費(fèi)用戶僅能使用部分功能，如圖8所示，當(dāng)選擇后面的一些漏洞進(jìn)行生成時，則給予提示并拒絕生成網(wǎng)頁***。 圖8 2.在輸入下載地址和選擇相應(yīng)的漏洞后，可以直接生成網(wǎng)頁***文件，這些網(wǎng)頁***文件可以是js腳本，可以是圖片等，掛馬的方式有很多，將網(wǎng)頁***文件和盜QQ號的***放在指定的網(wǎng)站地址，當(dāng)用戶訪問時，如果系統(tǒng)相應(yīng)的補(bǔ)丁未打上，則QQ等賬號很容易被盜取。

?

老刀一一給大家展示了“大盜”們的犯罪手段，兵來將擋水來土掩，大家開始研究針對這些犯罪手段的防護(hù)措施，會議室一片寂靜。

?

盜竊VS保護(hù) 真刀實(shí)槍大戰(zhàn) 在XX地下的X會所，X集團(tuán)也在開會，在分析了警察的幾種監(jiān)控方法后，決定對位于XXX商業(yè)街的XX電腦中心進(jìn)行賬號盜竊。一場決斗由此展開。 1.X集團(tuán)吹響***集結(jié)號 ??? X集團(tuán)配置了金狐QQ大盜和冷楓網(wǎng)馬，分別在某小說網(wǎng)站和某門戶網(wǎng)站進(jìn)行掛馬，團(tuán)伙工作人員并且在收信郵箱和收信網(wǎng)站進(jìn)行實(shí)時查看，等待QQ帳號和用戶名自動上門。 2.貓鼠大戰(zhàn)，警部實(shí)施反擊 ?? 首先在本地計(jì)算機(jī)上安裝360安全保險箱和金山密保。然后訪問帶有網(wǎng)頁***的網(wǎng)頁，通過監(jiān)控發(fā)現(xiàn)網(wǎng)站中的winrar.css存在問題，將該文件下載到本地直接打開，在最底部可以看到文件包含的***文件路徑“http://www.yiliaokeji.net/test.exe”，如圖9所示。 圖9 3.監(jiān)控效果比較 測試機(jī)上未修補(bǔ)任何操作系統(tǒng)補(bǔ)丁，因此***在后臺已經(jīng)運(yùn)行，這時候登錄QQ，金山密保給出了QQ異常情況，如圖10所示，QQ登錄后其進(jìn)程馬上關(guān)閉后又重新打開，說明QQ***已經(jīng)正常運(yùn)行。 圖10 接著360保險箱也給出了安全提示：發(fā)現(xiàn)可疑進(jìn)程atmQQ2.dll正試圖注入被保護(hù)程序騰訊QQ，如圖11所示。默認(rèn)將該可以進(jìn)程上報(bào)360安全中心，用戶可以有選擇的允許和禁止該進(jìn)程的運(yùn)行。單擊“禁止”不讓該進(jìn)程運(yùn)行，盜號集團(tuán)盜號失敗。 圖11 ? 在360保險箱和金山密保報(bào)警的同時，QQ安全中心也不落后馬上給出安全警告，告知用戶發(fā)現(xiàn)盜號***，提醒用戶進(jìn)行清除，如圖12所示。 圖12

?

警方安全提示和建議 ??? 通過本次警匪實(shí)戰(zhàn)演練，說明了盜號集團(tuán)也不是那么神乎其為，只要方法得到完全可以減少感染***，被盜取QQ以及其它一些游戲帳號的風(fēng)險，下面是一些安全提示和建議。 1.做好準(zhǔn)備，抵制誘惑 ??? 現(xiàn)在掛馬手段層出不窮，盜號者為了利益什么都敢干，現(xiàn)在連一些大型的門戶網(wǎng)站都敢掛馬，只要能夠掛的地方都敢掛，網(wǎng)頁掛馬的最終目的就是盜取用戶各種帳號密碼，通過這些帳號和密碼來獲取不義之財(cái)。在網(wǎng)絡(luò)的世界中他們會變出很多花樣來欺騙你，引誘你上當(dāng)，因此在訪問網(wǎng)頁時一定要注意，八股新聞、黃色圖片以及搞怪等往往是掛馬的最好地方，對普通用戶而言，計(jì)算機(jī)中一定要有防火墻、殺毒軟件，當(dāng)然有攔截網(wǎng)頁***的軟件更好，360衛(wèi)士有攔截網(wǎng)頁***的功能，一個更好的方法就是在虛擬機(jī)中訪問網(wǎng)頁，即使病毒***也影響不大。 2.勤打補(bǔ)丁，勤掃描系統(tǒng)漏洞 蒼蠅不叮無縫之蛋，目前所有的盜號掛馬所采取的手段無非就是利用一些操作系統(tǒng)或者應(yīng)用程序漏洞，在冷楓網(wǎng)馬中我們可以看到他主要有Ms0604、Ms09002、Office、RealPlay、暴風(fēng)影音、超星等。現(xiàn)在很多殺毒軟件都提供了漏洞掃描和自動安裝漏洞補(bǔ)丁功能，僅需少許幾步就可以減少帳號被盜的風(fēng)險。其中360衛(wèi)士的漏洞掃描就比較簡單，運(yùn)行360衛(wèi)士，在360衛(wèi)生主界面中單擊修復(fù)系統(tǒng)漏洞，360衛(wèi)士就會自動打開一個新窗口并對系統(tǒng)存在的漏洞進(jìn)行掃描，最后給出掃描結(jié)果，用戶根據(jù)提示進(jìn)行操作即可，如圖13所示。在360漏洞修復(fù)中有七個標(biāo)簽，即待安裝系統(tǒng)補(bǔ)丁，第三方軟件補(bǔ)丁，可選系統(tǒng)補(bǔ)丁，已安裝系統(tǒng)補(bǔ)丁，已忽略補(bǔ)丁，已過期補(bǔ)丁以及設(shè)置選項(xiàng)。普通用戶重點(diǎn)關(guān)注待安裝系統(tǒng)補(bǔ)丁和第三方軟件補(bǔ)丁，如圖14所示，及時掃描和安裝補(bǔ)丁。尤其是第三方補(bǔ)丁，像Flash、Office等應(yīng)用軟件如果未安裝補(bǔ)丁則較容易感染網(wǎng)頁***。在使用360衛(wèi)士時一定要及時更新其***庫和網(wǎng)址庫到最新版本，這樣才能及時修復(fù)最新的操作系統(tǒng)和第三方軟件漏洞補(bǔ)丁。 圖13 圖14 3.定期殺毒，實(shí)時監(jiān)控 ?? 個人用戶不可能人人是網(wǎng)絡(luò)安全專家，不可能通過一點(diǎn)點(diǎn)蛛絲馬跡就能發(fā)現(xiàn)系統(tǒng)存在異常，這個時候就需要交給做安全軟件，在計(jì)算機(jī)上安裝一款殺毒軟件，然后定期升級病毒庫，一定要開啟實(shí)時監(jiān)控，同時還要定期對系統(tǒng)進(jìn)行殺毒，對普通用戶來說，系統(tǒng)不可能存放一些有病毒的東西，因此當(dāng)計(jì)算機(jī)殺毒時發(fā)現(xiàn)有病毒，這個時候就要留意和小心了。如果是公司可以請求網(wǎng)管或者安全管理人員協(xié)助進(jìn)行處理。 4.定期做好系統(tǒng)備份 ?? 建議在系統(tǒng)安裝完畢后對操作系統(tǒng)做一個完整的Ghost，也就是備份，這樣在發(fā)生意外時可以及時恢復(fù)，同時在每次更新系統(tǒng)補(bǔ)丁后，在確認(rèn)系統(tǒng)正常后，再重新Ghost一篇，也即備份系統(tǒng)一遍，使系統(tǒng)在動態(tài)中進(jìn)行備份，在發(fā)生病毒感染或者災(zāi)難時，可以及時恢復(fù)到最近的正常工作狀態(tài)。

總結(jié)

以上是生活随笔為你收集整理的来自IT的警匪片 账号盗窃答案的追捕的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。