這種「QQ病毒」是如何實現的?

標題的用詞並不嚴謹,因為我不知道這東西確切來講算什麼。

通過點擊某個鏈接(就是截圖裡那個)會打開一個網頁(電腦打不開),安卓手機不經任何操作便會中招,具體表現有:

1:在空間里發布說說

2:在好友說說下評論

3:在好友留言板留言

4:自動在加入的群里創建相冊並發布圖片(不是管理員也可以)

5:設備鎖對這個「病毒」無效。

關於這個「病毒」,在QQ互聯管理頁面確認了不是互聯程序,安卓手機里也找不到相應的應用或腳本,根據微信安全提示顯示「異地登錄」,那麼問題來了———

這貨是如何通過小小一個網頁就獲得賬戶密碼的?

防治的方法很簡單,不點連接就行。

回答最好也不要仔細到寫上代碼,題主只想知道小網頁是如何做到這一點的。

另:這個網頁的html貌似沒法下載


輸入短鏈接以後,打開這個網頁。明顯的釣魚網站嘛。


之前我哥的QQ空間經常被發布各種違法說說,一開始以為是被盜q。於是各種修改密碼。結果然並卵,各種違法說說依然存在。後來無意中在某高校的個人博客上看到一位學生大牛的文章,分析了QQ空間的一個漏洞,是騰訊北京分公司存在的一個xss漏洞,由於QQ空間的認證是採用令牌認證,登陸後會分配一個token給你,而QQ空間存在xss攻擊漏洞,這個漏洞只需你點擊一個鏈接,便可以獲取你的token。這些人得到token之後便可以對你的QQ空間做任何操作,你提出的5大表現除了第4個我不知道能否符合外,其他4個完全符合。

至於解決辦法,我記得好像是重新登陸手機QQ。

更新

找到之前說的學生大牛的文章

關於惡意說說自動在QQ空間轉發的機制


首先,聲明一下,只要你的電腦沒有中木馬或病毒且已安裝防病毒軟體(手機不需要安裝任何反病毒軟體),那麼就絕對!!!絕對!!!不存在點了一個鏈接什麼都不幹就被人盜走賬號、中病毒、中木馬的情況。

也就是說,不管有人吹的多玄乎,所有的鏈接都可以隨便點,只不過點了之後就得自己做一下甄別是否需要繼續,你是否會中招是取決於你之後的動作。

--------------------------------

這還有什麼好分析的,只不過是一個釣魚網站而已。點擊鏈接後會跳轉到一個域名為:http://www.xaljbq.pw/的偽QQ空間站,頁面上有一個讓你輸入用戶名和密碼的框,你輸入進去後別人自然就拿到密碼了,之後的事情就順理成章了。

所以說,人不要太傻,別人給你一個輸入框你就乖乖的把自己的信息填進去,好歹用腦子想一下看看地址欄這個網站是不是你要去的地址。其次,就算網址沒有錯,也要想想這個網站是否有資格獲得並保存自己的重要信息且不會泄露,比如真實姓名、出生年月、家庭住址、手機號、其他社交賬號、郵箱號等。凡是聲稱自己什麼都沒做只不過點了一個鏈接就中病毒被人盜號了的,打死我也不信。這就像有人說自己被人拍了一下肩膀就中了迷藥失去意識乖乖把銀行卡里的錢全部轉給別人一樣,絕對是因為自己的其他缺點被人利用而不是迷藥,只不過是為自己的懶惰、貪婪、愚蠢找借口而已。

最後再聲明一下我的觀點,所有的手機APP中凡是有內嵌打開第三方網頁功能且不顯示地址欄的,這樣的產品絕對是圖謀不軌用心險惡的。設計出這樣的功能的產品經理都得是動機不純的。

歡迎任何人把任何花樣的「病毒鏈接」發給我,我這個人好奇心重,最喜歡點這些病毒鏈接了,我倒是想看看這些騙子能玩出什麼花招。


應該是釣魚盜取QQ帳號密碼吧。

抓包看到QQ號密碼明文發送。

未在空間客戶端打開這個鏈接

至於樓主說的

1:在空間里發布說說

2:在好友說說下評論

3:在好友留言板留言

這個在網頁版QQ空間都能實現

所以設備鎖「沒用」

而且QQ安全中心也提示是在觸屏版登錄

至於第四點應該是抓包後post的()

明天測試下在空間客戶端打開

順便有大神解釋下首頁那段加密的js么


CSRF


空間的xss,漏洞可能來自空間的某個小遊戲?

不過肯定不會被盜號啦。


感覺是xss


根據題主的描述基本確定是XSS搞得鬼,

xss相關信息:http://ixuehua.blog.163.com/blog/#m=0t=1c=fks_085066080094082071084084094095086083088074081084086064092


xss漏洞

更改密碼就可以了,這種只能在qq空間(qzone)中進行操作,其餘財產也不會被盜的


這是騰訊的一個漏洞好像


CSRF


推薦閱讀:

黑客在入侵別人電腦或者在別人網站上掛馬是什麼心態?
我們究竟需不需要殺毒軟體?
怎樣從U盤安裝kali linux2.0?
電腦需不需要有殺毒軟體呢?
如何評價360在 DEF CON 上展示如何黑掉 4G LTE 手機?

TAG:騰訊QQ | 網路安全 | 手機病毒 | Android |