QQ链接病毒分析

QQ链接病毒分析

特征

点击病毒链接后,自动会在每一时刻范围内通过所有途径群发新的病毒链接(途径包括Qzone,群聊等)

分析

首先看一下病毒链接的一个样例

http://news.soso.com/news/redirect_out.jsp?url=https://url.cn/5uSCssi?https://i.qq.com...XVfEPnCdOe

这个病毒十分狡猾,其感染链接打头的域名便是腾讯自己家的新闻网站soso新闻(从未听说过,但确实是鹅厂的),眨眼一看,这让一些稍懂网络知识的小白感觉好像很安全,但殊不知redirect_out的意思。

http://news.soso.com/news/redirect_out.jsp?url=

上面的这个网址(即感染链接前部分),其实是soso新闻站内用于重定义向的一个java服务器页面,而黑客巧妙利用了这个重定义向使得其真正目的网址隐藏其后。比如,我想要重定向至百度,那么我可以写成http://news.soso.com/news/redirect_out.jsp?url=https://www.baidu.com

所以真正的目的网址是https://url.cn/5uSCssi

但是这个网址看上去更是无害了(看这牛逼的域名url.cn),又殊不知url.cn是腾讯微博用于缩短链接的短链接服务,也就是说https://url.cn/5uSCssi也不是其真正的目标网址。在这里黑客已经埋了两个坑,这样的短链接很容易隐藏含有病毒的恶意网址,因为一般安全扫描只会扫描这个链接而不会跟着链接重定义向至目标网址。

之后,我……我也不知道怎么办了,因为https://url.cn/5uSCssi?https://i.qq.com...XVfEPnCdOe会不断重定义向,最后跳至安全的王者荣耀官网,我并不能找到其中间网址(我还是太弱了……)

于是,我试了试隐身模式……哇哇哇哇,GET IT!!!1

这一路过来,层层抽丝剥茧,终于到了http://qzzoonepvp.applinzi.com/404.html?https://i.qq.com...XVfEPnCdOe,这个根域名一看就是新浪云的,而其前的qzzoonepvp就是其注册服务器的名字,哈!

于是,我哼着歌,顺利到新浪云官网http://applinzi.com/举报了这个服务器

最后,祝愿这次病毒风暴早点过去,其实病毒似乎不止这一种,还有一种不通过链接感染只发Qzone推广的病毒,本想开刀,但奈何功力尚浅,只得作罢。

更新ing,等待被感染的同学传来IP,进行对比

原文地址:https://www.cnblogs.com/santiego/p/9471588.html

时间: 2024-11-19 11:39:20

QQ链接病毒分析的相关文章

QQ音乐API分析

QQ音乐API分析 官网提供API 说明:此API主要针对移动端直接调用QQ音乐API用,API只能在QQAPP内执行,上线时间尚短. http://y.qq.com/m/api/api.html 分析的API 说明: 根据官网https://y.qq.com/分析的API,经过测试,可以使用,测试demo如下,demo流程 1.首先根据关键字搜索歌曲>获取播放key>获取播放地址播放 https://192.168.60.50:8443/admin/public/music 经分析,也可不用

病毒分析第二讲,分析病毒的主要功能

---恢复内容开始--- 病毒分析第二讲,分析病毒的主要功能 经过昨天病毒分析第一讲,得出一个被注入的DLL 开始分析DLL主要功能 PS: IDA中,DLL会有各种初始化的代码,和释放资源,所以不再看,只看重要的API 一丶行为分析(创建命名互斥体,防止病毒多开) 进入函数去看,从DLLmain入口点分析. 得出,第一步,病毒为了防止重复注入IE,创建命名互斥体. 名字是:  "KyUffThOkYwRRtgPP" 二丶拼接字符串,创建文件,写入系统当前时间 进入DLLmain第二个

QQ传输协议分析

一. 实验目的: 在虚拟机下NAT模式下通过Wireshark抓包,分析QQ的传输模式.了解QQ在传输信息过程中用到的协议.分析在Nat模式下,信息传输的穿透性. 二. 实验环境: Win7 专业版32位(在虚拟机里面). Win7 旗舰版64位(物理机) QQ版本:TM2013 Wireshark 三. 实验内容: 1. QQ登录 1).UDP登录 在虚拟机的win7打开QQ面板,设置登录服务器的类型为UDP 启动wireshark,然后开始登录QQ,登录成功等待一会儿停止wireshark的

自建短连接 - 链接推广分析工具

短连接大家都不陌生,例如新浪的 t.cn .京东的 3.cn .淘宝的 tb.cn 等等.都已经是家喻户晓的短连接域名.不知道有多少人像我一样,对短连接原理好奇而且尝试自建了呢? 今天发布这个文章的目的,就在于分享一下我的自建短连接过程.首先解释下短连接的实现原理,相信很多读者,在看完原理之后,已经有能力自己编写这样一个工具出来. 短连接构成:协议+域名+参数 例如:我的阿里云幸运券连接http://wzfw.ltd/qjyl .就是由"http://" + " wzfw.l

一个简单的HTML病毒分析

一直就想写这篇东西了,只是上班时说要上班,不写,回家后又忙着玩游戏,丢一边去了.现在只好不务正业的开写了,希望头儿不会知道我的blog.哈哈 在很久之前就对HTML的病毒很感兴趣了,很好奇怎么能远程向本地不经过允许就能下载可执行文件的,只是一直没机会搞得到ASP的原码,所以不才敢断章取义的去作什么分析.最近一次听一朋友说他看一个网页时病毒防火墙提示有病毒,叫我小心(先感谢一下他先),我闪了一下念头,就打开FlashGet把那个病毒首页下了下来. 稍微看了一下发现在首页代码的下面几行里有一个隐含的

内核移植(四)——Makefile和链接脚本分析

1:Makefile分析 (1) kernel的Makefile写法和规则等和uboot的Makefile是一样的,甚至Makefile中的很多内容都是一样的. (2) kernel的Makefile比uboot的Makefile要复杂,这里我们并不会一行一行的详细分析. (3) Makefile中只有一些值得关注的我会强调一下,其他不强调的地方暂时可以不管. (4) Makefile中刚开始定义了kernel的内核版本号.这个版本号挺重要(在模块化驱动安装时会需要用到),要注意会查,会改. (

linux 内核移植(四)——Makefile和链接脚本分析

1:Makefile分析 (1) kernel的Makefile写法和规则等和uboot的Makefile是一样的,甚至Makefile中的很多内容都是一样的. (2) kernel的Makefile比uboot的Makefile要复杂,这里我们并不会一行一行的详细分析. (3) Makefile中只有一些值得关注的我会强调一下,其他不强调的地方暂时可以不管. (4) Makefile中刚开始定义了kernel的内核版本号.这个版本号挺重要(在模块化驱动安装时会需要用到),要注意会查,会改. (

病毒分析要掌握的技能

[转载]http://bbs.pediy.com/showthread.php?t=199036 虽然这里面的技能都比较久远了,但是常识还是要了解的 1._declspec(naked) 告诉编译器不要优化代码 对于jmp类型的hook, 如果自己的过程没有使用_declspec(naked),那么系统会自动给添加一些额外的代码,控制堆栈平衡,但是这些额外的代码会破坏被hook函数的堆栈.对于call类型的hook,如果使用_declspec(naked)修饰的话,要注意自己恢复堆栈平衡.#de

一个感染性木马病毒分析(三)--文件的修复

一. 序言 前面的分析一个感染型木马病毒分析(二)中,已经将该感染性木马病毒resvr.exe木马性的一面分析了一下,下面就将该感染性木马病毒resvr.exe感染性的一面分析一下. 二.文件感染方式的分析 之前感染性木马病毒的分析中,已经提到了病毒对于用户文件的感染方式有2种,分别是加密文件和感染文件传播病毒,至于文件感染的时候采取哪种感染方式,病毒母体文件和病毒母体衍生病毒文件中都有相关的标志位. 第1种感染文件的方式 前面分析的感染性木马病毒的木马性一面的过程中有下面一组远程控制命令Rev