有無(wú)數(shù)上網(wǎng)用戶每天都在使用QQ，大家往往注重于QQ尾巴病毒、QQ傳木馬之類的攻擊方式，卻很少有人注意到我們經(jīng)常訪問(wèn)的QQ群、QQ空間里面隱藏著更大的安全危險(xiǎn)，遠(yuǎn)比QQ尾巴病毒、QQ傳木馬之類的隱蔽得多，危害更加大。今天我們就來(lái)看看攻擊者是如何在QQ群和QQ空間中掛上網(wǎng)頁(yè)木馬，攻擊瀏覽用戶的！
一、QQ群中簡(jiǎn)簡(jiǎn)單單掛木馬
在一個(gè)比較火的QQ群里掛上網(wǎng)頁(yè)木馬，一定很容易得到許多肉雞的。怎么在QQ群里掛馬，是在群里面群發(fā)木馬的網(wǎng)址嗎?現(xiàn)在已經(jīng)不會(huì)有人上這樣的當(dāng)了。我們要作的只是在群里面發(fā)一個(gè)作了手腳的帖子。
步驟一：制作網(wǎng)頁(yè)木馬
在攻擊前，我們首先要制作好一個(gè)木馬網(wǎng)頁(yè)。這里筆者使用了“上興遠(yuǎn)程控制木馬V2006”，這個(gè)木馬功能非常強(qiáng)，以前筆者曾作過(guò)介紹。用上興生成木馬服務(wù)端程序“muma.exe”后，將服務(wù)端上傳到某個(gè)網(wǎng)站上去，假設(shè)地址為“http://www.binghewu.com.cn/muma.exe”。
打開“南域劍盟網(wǎng)頁(yè)木馬生成器”，在中間的“URL”處填入木馬的鏈接地址，點(diǎn)擊“生成”按鈕，將會(huì)在生成器當(dāng)前目錄下生成一個(gè)名為“script.txt”的文件(如圖1)。用記事本打開剛才生成的“script.txt”文件，可以看到木馬代碼，代碼是經(jīng)過(guò)加密的，一般人很難看出這是網(wǎng)頁(yè)木馬代碼來(lái)(如圖2)。復(fù)制所有代碼，然后將代碼插入到任意一個(gè)正常的網(wǎng)頁(yè)中，就可以得到一個(gè)網(wǎng)頁(yè)木馬了。
小提示:將木馬代碼插入正常的網(wǎng)頁(yè)中，其位置一般是位于“”標(biāo)記中間。

圖1 用木馬生成器生成木馬代碼

圖2 加密的木馬代碼

步驟二：制作SWF木馬
在以前的QQ群中，本來(lái)只需要發(fā)一張帶圖片的帖子就可以實(shí)現(xiàn)掛馬的目的。不過(guò)現(xiàn)在QQ群也改版了，掛馬就需要多一個(gè)步驟了，我們還需要將網(wǎng)頁(yè)木馬嵌入Flash文件中。
打開“SWF插馬工具(Icode To SWF)”，在“SWF文件”中瀏覽選擇本機(jī)上的某個(gè)正常的Flash文件;在“插入代碼”中填寫剛才與在的網(wǎng)頁(yè)木馬的鏈接地址(如圖3)。然后點(diǎn)擊“給我插”按鈕，即可將網(wǎng)頁(yè)木馬鏈接插入到正常的Flash文件中了。SWF插馬工具生成的Flash文件是利用了一個(gè)IE漏洞，對(duì)方打開Flash文件后，就會(huì)造成IE溢出，自動(dòng)訪問(wèn)木馬網(wǎng)頁(yè)在后臺(tái)下載運(yùn)行木馬程序。

圖3 生成SWF木馬

步驟三：在QQ群中掛馬
首先將剛才生成的SWF木馬文件上傳到某個(gè)空間中，然后打開某個(gè)QQ群的BBS欄目，點(diǎn)擊“發(fā)表新文章”。在新文章書寫頁(yè)面中點(diǎn)擊“插入Flash”按鈕，輸入SWF木馬文件的網(wǎng)絡(luò)鏈接地址及長(zhǎng)寬，然后點(diǎn)擊后面的小鉤按鈕，插入Flash文件(如圖4)。發(fā)表新文章后，當(dāng)有人在QQ群中打開查看這篇文章時(shí)，就會(huì)自動(dòng)播放Flash并在后臺(tái)下載運(yùn)行上興木馬服務(wù)端了。

圖4 在QQ群中發(fā)布Flash木馬

小提示：當(dāng)然我們也可以直接在QQ群中散布SWF木馬文件的網(wǎng)址，別人點(diǎn)擊后一樣會(huì)中木馬，不過(guò)這種方式不如發(fā)布文章隱蔽和效果好，攻擊的持續(xù)性也不強(qiáng)。