仿冒QQ空间的木马分析报告

    近日，阿里移动安全实验室截获一款仿冒QQ空间的木马软件。该木马软件高度仿冒QQ空间网页版，安装后可以正常进入QQ空间查看动态，但其启动后就隐藏桌面图标，拦截用户的所有短信并转发给指定的号码，获取联系人并给所有的亲人朋友发送一条附带链接的短信，诱导用户下载安装，当用户收到短信点击下载该仿冒软件并安装后，又会再次向其所有的联系人发送带木马链接的短信，从而使该木马具有极强的传播性。目前阿里钱盾已实现该病毒的查杀，建议用户安装阿里钱盾，确保用户安全。

    一． 木马概述
    该木马通过仿冒QQ空间应用诱骗用户安装，拦截用户短信并转发给指定号码，同时给家人和好友发送含木马下载地址的短信，具备极强的欺骗性，且木马本身只有33KB，体积小，易于传播，下载地址和接收用户短信的号码也有多个，以防止服务器和号码被封杀。截至目前，该木马已经感染56807个用户，且传播行为还在继续，建议用户谨慎防范。

    二． 木马行为分析
    2.1 收到好友短信
    安装了该木马应用的手机会给其通讯录好友发送短信，短信内容诱导用户点击木马下载链接，因为短信来自好友，接收者容易降低警惕性实施进一步的操作。

    

    2.2 下载木马APP

    

    2.3 安装木马APP
    木马应用下载到手机之后，用户点击安装，此后木马应用便获得了转发短信息、读取用户通讯录、发送短信等权限。

    

    2.4 登录QQ空间
    木马应用安装成功后，用户打开应用，看到的是与QQ空间一样的登录界面，用户完全无法感知它其实是个仿冒应用。

    

    2.5 展示QQ空间动态
    用户登录后，可以查看到其QQ空间的相关动态，内容也是真实的，以此混淆用户。
   

    三． 木马的技术分析
    3.1 安装后通知
    木马启动后在桌面隐藏图标，以免用户发觉，并第一时间向指定的号码发送安装成功的短信，通知不法分子。

    

    3.2 批量发送木马短信
    木马读取用户通讯录联系人并批量发送短信，短信内容为：在忙什么呢，这是以前我们的一些合影照，里面有认识你的人哦，有空看看 t.cn/R2***J3，该链接地址即为木马的下载地址。

    

    3.3 拦截用户短信
    木马会把接收到的用户短信和电话号码转发给指定号码，收集用户个人信息，以备进行更多的可能的欺诈行为。

    

    四． 总结
    该木马仿冒QQ空间应用，其启动界面和登录后所呈现的内容与正版QQ空间极其相似，极容易迷惑用户，因木马给好友群发短信的行为使其具备很强的传播特点，且拦截转发用户短信，上报用户好友手机号等信息，对用户造成的潜在危害巨大。阿里移动安全团队提醒用户一定要在正规应用市场和官方网站下载安装应用，并建议用户使用手机安全软件如阿里钱盾定期对手机体检和杀毒，如果检测出该木马，建议第一时间更改相关密码，包括银行卡等各种支付密码。以下界面为阿里钱盾实现对该病毒木马的查杀。

    

本文来自合作伙伴“阿里聚安全”.

一次对恶意邮件分析并拿下其赎金服务器的溯源 本文讲的是一次对恶意邮件分析并拿下其赎金服务器的溯源，在这个案例里面，我们通过分析垃圾邮件，进而劫持其赎金服务器，并且告知每个人关于发现的这一威胁。然后我会尝试寻找攻击者身份，并且将有关信息告诉执法部门。不过这一部分就不在文章中公开了。