近期安天追影小组利用威胁感知系统捕获到一起木马传输事件，黑客组织通过 QQ 盗号木马，盗取受害者账号及密码。此次事件受害机器数量颇多，波及范围已达 25 个省市以上，并且情况仍在持续恶化中。

分析小组加紧跟进此事件后发现，除 QQ.exe 以外，地下城勇士、问道、魔兽、QQ 华夏、QQ 游戏大厅、8188 游戏中心等 55 个主流游戏客户端也被该木马劫持。被劫持的对象多为腾讯旗下的游戏，这些游戏的密码和 QQ 的账号密码是通用的。主要通过网页挂马、游戏外挂等方式进行传播，长期大范围传播盗号木马，形成一条完整的游戏盗号产业链。QQ帐号被盗取后QQ空间出现办理信用卡的广告贴。该木马弹出的高仿界面与真实QQ 窗口相比不含菱形动画效果，二维码也无法打开，请用户在登录时谨慎操作，避免盗号事件发生。

0×1 样本分析

威胁感知系统在http://*.*.*.54:188/my/qqq.ico位置传输木马，qqq.ico实则是一个EXE格式文件，运行这个样本，我们发现这个恶意样本劫持了QQ进程。qqq.ico是一个下载者，下载qq1.css，qq1.css也是一个EXE程序，运行之后会检查进程里是否含有QQ.exe，如果发现了就立即终止QQ进程，将原有的QQ窗口替换成为自己设定的窗口，这样发送的用户名和密码会轻易地发送到黑客手上。发送完毕之后，返回原来正常的QQ窗口，进行正常的登录行为。如下图所示，是qqq.ico恶意盗取QQ用户的用户名和密码的方式。
 

 

图1 真假QQ窗口

左面真实QQ 窗口有菱形动画，并且二维码可以点用于开手机登录，右边是伪装的窗口无菱形动画，二维码无法打开。当用户添加真实的QQ号和密码会进行验证，盗号程序会通过HTTP上传QQ用户名密码，发送数据如下：

GET /qq1/lin.asp?Action=AddUser
 

 

图2 发送盗号数据

0×2 网络架构分析

放马站点持续活跃超过1年，并有相关架构至少在三个挂马组织中使用，除 QQ.exe 以外，地下城勇士、问道、魔兽、QQ 华夏、QQ 游戏大厅、8188 游戏中心等 55 个主流游戏，每个游戏的结构都不同,abc.txt是放马的下载列表，都是以ico结尾的，实际是EXE文件。
 

 

图3 放马配置文件

放马网站捆绑了众多的域名
 

 

图4 放马网络域名

0×3 受害者分析

安天威胁预警平台对该盗号团伙进行了监控，自2015年9月6日起到2015年11月6日，随机抽取了六万数据做了分析，全国范围内的都出现了受害者，其中以重庆的受害者居多，达到总数的18%，黑龙江紧随其后，两地占据了总受害者的1/4以上。该样本传播范围极广，涉及到25个省和直辖市。截止报告完成之日，持续有更多的受害者出现。
 

 

图5 受害地域分布

被盗QQ空间主要被发了信用卡办理网站和网络兼职等黑广告。
 

 

图6 受害者空间动态

0×4 黑客追踪

大部分的域名都是GODADDY注册的，百密一疏，追影小组的网络犯罪追踪人员还是发现了一个域名的注册邮箱，一个叫“china”QQ昵称的黑客所拥有，其QQ签名为“长期收购一手安装量”，这就是在QQ盗号产业中的专业放马人！
 

0×5 总结

虽然我们观察到的盗号的一个效果是发小广告，在盗号黑产的过程中有非常多的利用，QQ诈骗就是其中之一。另关于利用外挂藏后门定向钓取QQ游戏用户的盗号框架敬请下回分解。

(责任编辑：腰编辑)