來自IT的警匪片 賬號盜竊答案的追捕 文/simeon （注本文應國內電腦愛好者雜志而應急寫的一篇稿件） 隔著辦公室的玻璃窗，可以看到網監大隊監控室里忙碌的干警們，近來，網絡中出現大規模的掛馬盜竊用戶賬戶信息案件引起了省廳的高度重視，委派從事了多年反黑反病毒工作的老刀現場坐鎮部署指揮，現在，他正在召集大家部署一場反盜竊行動。同樣，XX大夏的密室里，幾位***也在盤算下一步該怎么下手。一場“警匪”大戰馬上打響。 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

?

揭開絕密檔案 盜號詭計全揭穿 老刀坐鎮自然不會打不準備之仗，他帶來了技術專家對近期盜號案件監控記錄的分析結果，打開絕密檔案的光盤，通過大屏幕給大家展示下一步的對手，幾位盜竊賬號的頭號大盜被一一分析。

?

大盜一號：金狐QQ大盜（見圖1） 老刀：QQ賬號和密碼是網民接觸最多的案例，現在盜竊的技術普及率最高，網上有很多盜QQ號碼的軟件，金狐QQ大盜2008就是其中的最典型的一款，下面來看它的盜號伎倆。 <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /> 圖1金狐QQ大盜 1.下載并配置金狐QQ大盜 首先，在空間收信中輸入網站地址，例如本例中的“http://www.yiliaokeji.net/qq.asp”，其中QQ.asp是“金狐QQ大盜<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />2008”軟件提供的，將其上傳到支持運行asp的網站空間即可，選中“空間收信”，則可以通過網站來收取盜取的QQ號碼和用戶密碼；在郵件收信中，需要設置收信信箱、發信信箱、發信賬號、發信密碼和郵箱Smtp。 2.測試程序正確配置與否 在程序主界面中單擊“發信測試”，如圖2所示，系統會自動彈出網站發信完畢；然后就可以查看網站能否生成測試文件以及收信郵箱能否接受到測試郵件。然后登錄收信郵箱，如果配置無誤，則可以直接看到測試郵件，打開后可以看到郵件標題為“阿童木QQ終結者”，郵件內容為“測試成功”，如圖3所示，這表明收信郵件沒有問題，能夠正常接收盜取的QQ號碼和密碼。現在直接在IE中打開網站地址“http://www.yiliaokeji.net/qq.asp”如圖4所示，在網頁中顯示為“jhQQ”表明程序正常運行，可以實現收信功能。 圖2 圖3 圖4 ? 3.生成QQ盜號密碼 在金狐QQ大盜2008程序主界面中單擊“生成***”，程序會提示讓用戶選擇***文件的保存路徑，選擇路徑完畢即可生成QQ盜號***。將金狐QQ大盜2008所生成的QQ***上傳到肉雞上，如果肉雞上有QQ，則雙擊執行該***程序，或者通過后臺開啟的shell來執行，該程序執行完畢后無任何提示。 4.收獲QQ賬號和密碼 直接到收信網站目錄下打開qq2008jh.txt，如圖5所示，即可查看用戶qq號碼和密碼，如果通過收信郵箱，則可以直接登錄收信郵箱進行查看。 圖5 大盜一號：冷楓網馬（見圖7） 老刀：相比丟失QQ賬號的損失，游戲賬號和網銀賬戶的丟失給大眾帶來的危害更大，下面這個就是此類案件的代表，冷楓網馬。使用它相對簡單一些，但危害更大，主要是網頁掛馬，讓人防不勝防，下面來展示它的盜號過程。 1.運行“冷楓網馬綜合版生成器”，系統出來一個登錄窗口，必須具有密碼和用戶名才能使用，按照提示進行注冊，如圖6所示，按照要求進行注冊。注冊成功后，使用注冊的用戶名和密碼登錄“冷楓網馬綜合版生成器”，如圖7所示，在下載地址中輸入QQ***或者其它***的下載地址，在本例中輸入"http://www.antian365.com/test.exe"，然后根據漏洞類別選擇生成網頁***。 ?圖6 圖7 老刀：現在很多軟件都是通過VIP來進行收費，免費用戶僅能使用部分功能，如圖8所示，當選擇后面的一些漏洞進行生成時，則給予提示并拒絕生成網頁***。 圖8 2.在輸入下載地址和選擇相應的漏洞后，可以直接生成網頁***文件，這些網頁***文件可以是js腳本，可以是圖片等，掛馬的方式有很多，將網頁***文件和盜QQ號的***放在指定的網站地址，當用戶訪問時，如果系統相應的補丁未打上，則QQ等賬號很容易被盜取。

?

老刀一一給大家展示了“大盜”們的犯罪手段，兵來將擋水來土掩，大家開始研究針對這些犯罪手段的防護措施，會議室一片寂靜。

?

盜竊VS保護 真刀實槍大戰 在XX地下的X會所，X集團也在開會，在分析了警察的幾種監控方法后，決定對位于XXX商業街的XX電腦中心進行賬號盜竊。一場決斗由此展開。 1.X集團吹響***集結號 ??? X集團配置了金狐QQ大盜和冷楓網馬，分別在某小說網站和某門戶網站進行掛馬，團伙工作人員并且在收信郵箱和收信網站進行實時查看，等待QQ帳號和用戶名自動上門。 2.貓鼠大戰，警部實施反擊 ?? 首先在本地計算機上安裝360安全保險箱和金山密保。然后訪問帶有網頁***的網頁，通過監控發現網站中的winrar.css存在問題，將該文件下載到本地直接打開，在最底部可以看到文件包含的***文件路徑“http://www.yiliaokeji.net/test.exe”，如圖9所示。 圖9 3.監控效果比較 測試機上未修補任何操作系統補丁，因此***在后臺已經運行，這時候登錄QQ，金山密保給出了QQ異常情況，如圖10所示，QQ登錄后其進程馬上關閉后又重新打開，說明QQ***已經正常運行。 圖10 接著360保險箱也給出了安全提示：發現可疑進程atmQQ2.dll正試圖注入被保護程序騰訊QQ，如圖11所示。默認將該可以進程上報360安全中心，用戶可以有選擇的允許和禁止該進程的運行。單擊“禁止”不讓該進程運行，盜號集團盜號失敗。 圖11 ? 在360保險箱和金山密保報警的同時，QQ安全中心也不落后馬上給出安全警告，告知用戶發現盜號***，提醒用戶進行清除，如圖12所示。 圖12

?

警方安全提示和建議 ??? 通過本次警匪實戰演練，說明了盜號集團也不是那么神乎其為，只要方法得到完全可以減少感染***，被盜取QQ以及其它一些游戲帳號的風險，下面是一些安全提示和建議。 1.做好準備，抵制誘惑 ??? 現在掛馬手段層出不窮，盜號者為了利益什么都敢干，現在連一些大型的門戶網站都敢掛馬，只要能夠掛的地方都敢掛，網頁掛馬的最終目的就是盜取用戶各種帳號密碼，通過這些帳號和密碼來獲取不義之財。在網絡的世界中他們會變出很多花樣來欺騙你，引誘你上當，因此在訪問網頁時一定要注意，八股新聞、黃色圖片以及搞怪等往往是掛馬的最好地方，對普通用戶而言，計算機中一定要有防火墻、殺毒軟件，當然有攔截網頁***的軟件更好，360衛士有攔截網頁***的功能，一個更好的方法就是在虛擬機中訪問網頁，即使病毒***也影響不大。 2.勤打補丁，勤掃描系統漏洞 蒼蠅不叮無縫之蛋，目前所有的盜號掛馬所采取的手段無非就是利用一些操作系統或者應用程序漏洞，在冷楓網馬中我們可以看到他主要有Ms0604、Ms09002、Office、RealPlay、暴風影音、超星等。現在很多殺毒軟件都提供了漏洞掃描和自動安裝漏洞補丁功能，僅需少許幾步就可以減少帳號被盜的風險。其中360衛士的漏洞掃描就比較簡單，運行360衛士，在360衛生主界面中單擊修復系統漏洞，360衛士就會自動打開一個新窗口并對系統存在的漏洞進行掃描，最后給出掃描結果，用戶根據提示進行操作即可，如圖13所示。在360漏洞修復中有七個標簽，即待安裝系統補丁，第三方軟件補丁，可選系統補丁，已安裝系統補丁，已忽略補丁，已過期補丁以及設置選項。普通用戶重點關注待安裝系統補丁和第三方軟件補丁，如圖14所示，及時掃描和安裝補丁。尤其是第三方補丁，像Flash、Office等應用軟件如果未安裝補丁則較容易感染網頁***。在使用360衛士時一定要及時更新其***庫和網址庫到最新版本，這樣才能及時修復最新的操作系統和第三方軟件漏洞補丁。 圖13 圖14 3.定期殺毒，實時監控 ?? 個人用戶不可能人人是網絡安全專家，不可能通過一點點蛛絲馬跡就能發現系統存在異常，這個時候就需要交給做安全軟件，在計算機上安裝一款殺毒軟件，然后定期升級病毒庫，一定要開啟實時監控，同時還要定期對系統進行殺毒，對普通用戶來說，系統不可能存放一些有病毒的東西，因此當計算機殺毒時發現有病毒，這個時候就要留意和小心了。如果是公司可以請求網管或者安全管理人員協助進行處理。 4.定期做好系統備份 ?? 建議在系統安裝完畢后對操作系統做一個完整的Ghost，也就是備份，這樣在發生意外時可以及時恢復，同時在每次更新系統補丁后，在確認系統正常后，再重新Ghost一篇，也即備份系統一遍，使系統在動態中進行備份，在發生病毒感染或者災難時，可以及時恢復到最近的正常工作狀態。

總結

以上是生活随笔為你收集整理的来自IT的警匪片 账号盗窃答案的追捕的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。