QQ链接病毒分析
特征
点击病毒链接后,自动会在每一时刻范围内通过所有途径群发新的病毒链接(途径包括Qzone,群聊等)
分析
首先看一下病毒链接的一个样例
http://news.soso.com/news/redirect_out.jsp?url=https://url.cn/5uSCssi?https://i.qq.com...XVfEPnCdOe
这个病毒十分狡猾,其感染链接打头的域名便是腾讯自己家的新闻网站soso新闻(从未听说过,但确实是鹅厂的),眨眼一看,这让一些稍懂网络知识的小白感觉好像很安全,但殊不知redirect_out
的意思。
http://news.soso.com/news/redirect_out.jsp?url=
上面的这个网址(即感染链接前部分),其实是soso新闻站内用于重定义向的一个java服务器页面,而黑客巧妙利用了这个重定义向使得其真正目的网址隐藏其后。比如,我想要重定向至百度,那么我可以写成http://news.soso.com/news/redirect_out.jsp?url=https://www.baidu.com
所以真正的目的网址是https://url.cn/5uSCssi
但是这个网址看上去更是无害了(看这牛逼的域名url.cn
),又殊不知url.cn
是腾讯微博用于缩短链接的短链接服务,也就是说https://url.cn/5uSCssi
也不是其真正的目标网址。在这里黑客已经埋了两个坑,这样的短链接很容易隐藏含有病毒的恶意网址,因为一般安全扫描只会扫描这个链接而不会跟着链接重定义向至目标网址。
之后,我……我也不知道怎么办了,因为https://url.cn/5uSCssi?https://i.qq.com...XVfEPnCdOe
会不断重定义向,最后跳至安全的王者荣耀官网,我并不能找到其中间网址(我还是太弱了……)
于是,我试了试隐身模式……哇哇哇哇,GET IT!!!1
这一路过来,层层抽丝剥茧,终于到了http://qzzoonepvp.applinzi.com/404.html?https://i.qq.com...XVfEPnCdOe
,这个根域名一看就是新浪云的,而其前的qzzoonepvp
就是其注册服务器的名字,哈!
于是,我哼着歌,顺利到新浪云官网http://applinzi.com/
举报了这个服务器
最后,祝愿这次病毒风暴早点过去,其实病毒似乎不止这一种,还有一种不通过链接感染只发Qzone推广的病毒,本想开刀,但奈何功力尚浅,只得作罢。
更新ing,等待被感染的同学传来IP,进行对比
原文地址:https://www.cnblogs.com/santiego/p/9471588.html