近日,360互聯網安全中心攔截到多例攻擊“PC聊天工具”的竊密者木馬,該類木馬主要通過聊天工具進行定向傳播,運行之後會竊取本機正在運行的QQ好友、所加群內聯繫人以及微信聊天信息等內容,並通過郵件發送到攻擊者郵箱,目前受害者已超1800位。
該類木馬錶面上是身份證照片、訂購單、截圖等,實際上是後綴為.exe、.cmd等的可執行程序,一旦運行就會在後臺收集受害者信息。首先會通過訪問QQ本地快速認證接口得到ClientKey,之後帶著該參數獲得受害者QQ聯繫人、群成員信息。
獲取QQClientKey
聯繫人及群信息接口
第二步,判斷微信PC版的進程是否啟動,若啟動則開始收集微信數據。通過微信PC版全局配置文件獲取到當前登錄用戶的數據存儲路徑,解析當前登錄微信的帳號、聯繫人、聊天記錄等信息。
生成的運行日誌
由於微信聊天數據通過Sqlite同時設置密鑰存儲於MicroMsg.db,並且該密鑰在登錄時動態生成,每次各不一樣,只存儲於微信的內存中,所以“竊密者”通過讀取微信內存數據提取該串密鑰。
所有數據提取完畢之後,會將文件全部打包為“QQ好友.zip”,通過動態執行VBS腳本將上述附件以郵件方式發送給自己。
通過郵件回傳受害者信息
受害者被竊取的數據內容
此類木馬主要通過聊天工具定向傳播,具備較強的目的性,一般受害者在事發當時難以察覺異常,為此,360安全專家給出如下建議:
1、不接收、不點擊來源不明的文件,打開文件前務必看清文件後綴。
2、養成良好的上網習慣,避免使用弱密碼並定期更新,不在聊天中透漏涉及錢財的信息。
3、360安全衛士可精準查殺該類木馬,建議廣大用戶及時安裝並保證其正常運行,以防護電腦安全。
分享到:
閱讀更多 360安全衛士 的文章
