“Cookie大盗”木马来袭 360安全卫士全面防御

  日前,360安全中心率先截获一款专门盗取“QQ号+Cookie”的新型木马——“Cookie大盗”。利用该木马,黑客能够获得受害用户的QQ权限,利用受害者的QQ空间、QQ邮箱、说说等发布广告欺诈信息,甚至长期偷窥受害者的QQ邮箱邮件。

  据悉,以往木马盗号主要是盗“QQ号+密码”,但“Cookie大盗”木马的攻击目标除了用户的QQ号之外还有Cookie信息。黑客借助“Cookie+ QQ号”,可轻松获取受害者的QQ权限。且该木马还能通过Cookie维护器定期向服务器发消息,以实现长时间控制用户权限的目的,而Cookie提取和倒卖也已经成为木马黑色产业链“洗号”的重要手段。

  据安全工程师介绍,Cookie大盗主要通过虚假色情网站传播,其危害包括:监视QQ邮箱邮件、洗劫QQ账户虚拟财产、利用社工骗取受害者家属钱财、利用受害者QQ空间发广告和欺诈信息、刷日志转载、刷说说分享、加认证空间关注等。

  目前,360安全卫士和杀毒均可拦截查杀Cookie大盗木马。如果有用户因使用外挂、色情播放器而冒险关闭安全软件中了木马,一旦发现自己QQ空间发布异常的广告信息、或关注了陌生账号,应立即注销QQ账号并重新登录。或者立即通过“QQ安全中心”修改密码,从而使木马盗取的Cookie认证信息失效,以避免遭受更大的损失。

  

  图:360安全卫士拦截“Cookie大盗”

  附:Cookie大盗木马分析报告

  1、木马传播:虚假色情网站播放器

  QQ Cookie大盗主要通过虚假色情网站传播:

  

  木马伪装为10244.html">视频播放器的引导程序:

  

  值得注意的是该色情播放器引导程序还会流氓推广一些软件,如下图所示sun.exe(盗用鲁大师图标)则是Cookie大盗木马:

  

  2、木马原理:盗取Cookie+QQ号

  木马启动后,先制作一段盗取Cookie的网页代码:

  

  之后通过mshtml的execscript执行插入的代码,类似于网购木马的手法:

  

  窃取到用户Cookie信息:

  

  再盗窃用户QQ账号、昵称这些信息,然后打包发到木马后台:

  

  3、木马盗Cookie目的:获取受害用户QQ权限

  QQ登录之后会返回的Cookie中,带有一个stkey的值。通过stkey,能够计算出一个校验值,利用这个校验值,就可以向QQ空间发送消息,添加关注,甚至查看QQ邮箱邮件等,拥有受害者QQ的权限。

  

  利用受害用户QQ发广告:

  

  各类营销工具也在网上泛滥:

  

  4、以“关注某个认证空间”具体的案例还原整个过程:

  ①、用户本地运行QQ Cookie大盗之后,木马上传QQ账号和昵称信息以及Cookie信息到木马后台;

  ②、木马作者在后台收集N多此方法盗取的Cookie,然后用它们自己的Cookie维护工具进行维护,以防Cookie失效;

  ③、传统意义上的QQ信封交易正在从以账号、密码为内容迁移到以账号、Cookie为内容;

  ④、有了受害者的账号以及Cookie,有的人用来做日志转载,有的人做说说分享,有的人做关注认证空间。网上可以找到一款关注认证空间的工具,截图如下:

  

  关注空间的技术原理也很简单,就是从Cookie中提取出skey这个参数

  

  然后按照如下的算法,计算出g_tk

  

  得到g_tk之后,发包完成关注操作:

  

  其它日志转载等操作与之类似。

  5、新型“洗号”手段:倒卖Cookie

  以往木马盗号洗号主要目标是QQ账号和密码,如今不法分子洗号则是利用Cookie提取器提取Cookie,然后进行倒卖。在某些论坛和贴吧里,黑客工具作者正在公开售卖如下Cookie提取工具:

  

  6、360安全软件可防御

  拦截木马下载地址:

  

  木马防火墙主动防御:

  

  对木马盗取Cookie进行拦截:

  

  对木马发送信息进行拦截:

  

  7、关闭安全软件而中招怎么办:立刻让Cookie失效

  登录Cookie的有效期一般都不长,但是攻击者拿到Cookie后会定期向腾讯服务器发送消息,保持Cookie有效进行长时间控制。如果网友发现自己QQ账号出现异常情况,应注销QQ账号重新登陆,使原Cookie失效;此外,访问QQ安全中心修改密码,也可以使Cookie失效,从而摆脱Cookie大盗的控制。

时间: 2024-09-12 15:42:06

“Cookie大盗”木马来袭 360安全卫士全面防御的相关文章

“皓龙天气”木马来袭360安全卫士率先查杀

近期不少 网友反映,电脑桌面莫名其妙出现了一个"皓龙天气",且难以卸载,同时浏览器主页被篡改为www.hao123.com/?tn=91854872_hao_pg.根据工程师分析,"皓龙天气"在电脑植入木马驱动,强制篡改主页获取推广费,360安全卫士已率先查杀此木马.经过360反病毒工程师调查分析,"皓龙天气"通过一些不良软件静默捆绑安装:首先,"皓龙天气"在系统植入木马驱动Acceler.sys和vparam.bin(经过加

黑客曝光NV显卡远程漏洞 360安全卫士率先防御

装配NVIDIA显卡的电脑用户要小心了!根据名为"冬日史密斯"的国外黑客爆料,NVIDIAhttp://www.aliyun.com/zixun/aggregation/36046.html">显卡驱动存在高危漏洞,可被远程攻击完全控制电脑,攻击代码现已在网上公开.目前,360安全卫士已紧急升级防御措施,能够为NVIDIA显卡用户拦截黑客攻击. 360安全专家石晓虹博士分析说,NVIDIA显卡驱动漏洞影响广泛,黑客只需 获取到目标电脑的IP,就可以根据IP定向攻击,在目

360安全卫士让1%为99%买单

采访·撰文∕张晓(实习) "我们的理念就是免费杀毒,永远给用户选择权,主要靠提供增值服务获得长线收入."360安全卫士董事长周鸿祎准备用"永久免费"的杀毒软件来"放长线钓大鱼". 据企业管理分析师童晓金称,一个软件真正意义上的免费应该是开源(即开放软件源代码)的,否则主动权被厂商控制,何时会转为收费或被其他公司买断后进行收费也是不可知的.对此,周鸿祎称,"免费是伴随互联网而生的一种精神,它最优秀的操作系统.数据库不仅免费,而且还开源.&

360安全卫士3.6beta发布 查杀15万种木马

8月9日消息,随着木马病毒的日益猖獗,以及"流氓软件"的逐渐减少,国内安装量最大.功能最强的360安全卫士开始将重心转移到木马的查杀和防御上来,力求为网民提供最完善的安全辅助解决方案.近日,360安全卫士3.6beta新版本发布,提供了多达15万种木马样本库,并新增文件粉碎功能,可彻底粉碎顽固木马.此外,Windows Vista用户也可以像Windows XP用户一样,通过新版360安全卫士进行漏洞修复和系统更新了. 木马样本库的容量在很大程度上决定了一个木马查杀软件的优劣.据了解,

360安全卫士拦截伪装破解软件的“图片大盗”

第1页"图片大盗"木马活跃 专偷JPG和PNG图文 电脑中的私密图片正在成为木马主攻目标.近日,360安全中心拦截到一类感染量持续攀升的"图片大盗"木马.如果电脑没有安全软件保护,一旦运行该木马伪装的破解软件.视频种子等恶意文件,"图片大盗"会全盘扫描搜集JPG.PNG格式图片,并筛选大小在100KB到2MB之间的文件,暗中将其发送到黑客服务器上,对受害者隐私造成严重危害. 图:360安全卫士拦截伪装破解软件的"图片大盗" 3

360安全卫士木马防火墙的使用

  1.木马防火墙的功能? 全方位的保护你的电脑不被木马入侵. 2.为什么要开启木马防火墙? 木马的入侵会造成你的电脑被控制.你的隐私资料被窃取等很严重的后果.开启木马防火墙可以保证你的电脑不被木马侵害. 3.如何使用木马防火墙? 当你安装360安全卫士之后360木马防火墙会根据你电脑的需要和网络环境自动为你开启需要的防护.你也可以根据你的需要选择关闭全部或者其中的一部分防护功能.并可以设置电脑遭遇木马风险时的提示模式.         注:更多请关注软件教程>

360安全卫士教你升级备用木马库?

  360安全卫士不断进行改版,有些人便找不到其中的有些功能了,那么9.0中应该怎么升级木马库呢?下面来看一下. 1.首先,打开360安全卫士,木马库在界面的右下方,点击向上的蓝色小箭头,系统会自动对木马库进行检测. 2.如果发现新版本,360安全卫士会自动进行升级. 3.如果你的木马库已经是最新版本,那么系统会提醒你已是最新版本,无需更新.

360安全卫士如何使用木马防火墙?

  当你安装360安全卫士之后360木马防火墙会根据你电脑的需要和网络环境自动为你开启需要的防护.你也可以根据你的需要选择关闭全部或者其中的一部分防护功能.并可以设置电脑遭遇木马风险时的提示模式.

360安全卫士vs贝壳木马专杀

"云安全"大家已经不再陌生,随着360安全卫士6.0.金山贝壳1.0的陆续面世,我们已经正式进入到"云安全"时代.那么这些被厂商吹得神乎其神的"云查杀",是否真能代替传统防病毒软件,相信下面这篇文章将带给您答案. 事实上对于"云安全"的定义,业界并无统一标准.一般来说国外厂商往往通过部署于"云端"(即互联网)的服务器群,对个人电脑进行进程认证,看上去更像是一种智能化的"白名单".而国内厂