打印本文 打印本文  关闭窗口 关闭窗口  
小心!借QQ之名给你的机器种木马
作者:陈鹏  文章来源:eNet  点击数  更新时间:2009/9/11 23:12:26  文章录入:陈鹏  责任编辑:陈鹏

>>六位QQ免费送? 别做梦了!
  >>免费刷Q币?Q币到底给了谁!  

  习惯性的打开邮箱,不料收到一封腾迅系统发送的找回密码的信件,这一看心里着急呀,要知道像我这样的老网虫丢了QQ就丢了大半条命。可是转念一想自己QQ还登陆着,而且也没有去“找回密码”过呀,难道这又是一个盗号者的伎俩?

  看一下发件人,没错,确实是腾迅找回密码时的发件人地址,这是怎么回事呢?

  


  继续往下看

  


  信件里似乎有一些不可思议的东西。比如QQ号码是以38开头的,但是本人并没有这样的QQ号呀,是不是腾迅系统出错,把别人找密码的信件发给我了?但是这种低级错误如果真的发生了,那腾迅也快关门了。我把鼠标放在地址上,正打算点的时候,却发现了一个更奇怪的事情!随着鼠标手势弹出的黄色提示条却显示了另一条网址,是一个名不见经传的网站,难道这里在有什么见不得人的东西?我开始心生疑窦,马上打开防火墙,万分小心的点开这个网站。果然,预料中的事情出现了!!!这个网站真的有病毒!

  


  熟悉的页面,熟悉的字句,可是这背后却隐藏了不为人知的秘密。

  真可怕!如果不是我防备心高一点,还真的就中标了。试想一下,如果是一个完全没有预防心理的人遇到这样的信件,怀着好奇心点一下不就中标了?这个发信人也算是聪明人,可惜聪明没有用到正经地方!

  


  正如杀毒软件的提示里所写的那样,被感染病毒的文件是“TZD.htm”,在这里顺便提醒大家一句,以后上一些不知名的网站的时候,一定要打开防火墙,说不定什么时候你就中了别人的圈套了!

  遇到这种情况,我一般都会查看源代码,看看到底是哪里做怪!

  


  看到这张图了吧?可笑吗?“saved from url=(0112)http://...”这段代码,是将别人网页保存时IE自动附加的一句,意思是告诉下载者这个网页源地址是在哪里!看来这个搞病毒的家伙还是不够细心呀,这种低级错误也犯了。

  继续往下分析。

  


  上面这张图最上面一段代码,在qq.css前面那个路径的“services.files”,凡下载过网页的人都知道,下载后的文件有两个,一个是页面文件,还有一个是一个以页面文件名加“.files”为标题的文件夹,这个骗子连这些也没来得及修改就直接将木马嵌到网页了。

  再看高亮显示那个网址“http://chgpass.tencent.com” 这个应该是腾迅的改密码页面的真实地址,只不过在腾迅系统所发的信件里,还加入了一系列验证措施,比如密码保护以及身份证,但是在这个携带病毒的页面里只是将这个原本正确的系统照猫画虎附加进来,但缺少任何验证,所以就会出现“验证码过期”的说法。

  


  说到这里你是不是已经明白这到底是怎么回事了?

  没错,就是有人冒充腾迅QQ的系统邮件给人发信,然后有不明白情况的点了之后就在不知不觉中被中了木马。病毒发起者先将腾迅找回密码的页面另存在他的机器上,然后放到服务器上,将木马页面嵌入其中,然后用邮件群发器,将发信人伪装成腾迅的系统地址,然后发个万千上万封,这样不懂事的人便就这样中毒了。

  之所以把这种伎俩公布出来,只是想告诉大家收到莫名其妙的信件,网址时一定要小心,无论是附件还是链接都不要轻易点击,否则真的中招就不是好玩的了。文/情系何方

【责任编辑 张洪】

打印本文 打印本文  关闭窗口 关闭窗口