网站 › 『病毒分析区』 › 对近期"免费领取500M流量"鱼站的分析

搜索中文字符串 发表于 2016-7-3 14:59

对近期"免费领取500M流量"鱼站的分析

本帖最后由 374237370 于 2016-7-3 15:06 编辑

最近QQ上收到很多条标题为"免费领取500M流量"的xml消息，稍微有点意识的人一眼可以看出这是否真实，实在没有意识的可以右键复制链接，www.qcx868.com/a.com/1/]http://www.www.qcx868.com/a.com/1/ ，也能看到并非腾讯官方域名“qq.com”。


据分析，该鱼站的目标是盗取QQ账号密码。




用ipad浏览器的useragent打开网页，审查元素可以看到这只是一个图片链接，跳转到登录界面



注意看，此时的域名变成了“http://tiantiansongfuli.com/index/qq.html” 而且该域名依然未被360 电脑管家等安全软件拦截。一心想拿流量的朋友肯定想也没想就输入账号密码点击登录了。

我们先乱输入一个账号密码点击登录看看情况。

提示错误，只是这么简单吗？



审查元素，可以看到该页面加载了三只JS。挨个分析，找到关键“kr.js”。



看不懂，没关系，前边只是给几个变量赋值，我们直接入手关键。
可以看到这样一段代码。
   //$.ajax({
    //            //提交数据的类型 POST GET
    //            type:"POST",
    //            //提交的网址
    //            url:"/index/qq.php",
    //            //提交的数据
    //            data:{q:qq,p:password},
    //            //返回数据的格式
    //            datatype: "text",//"xml", "html", "script", "json", "jsonp", "text".
    //            //在请求之前调用的函数
    //            beforeSend:function(){ },
    //            //成功返回之后调用的函数            
    //            success:function(data){alert("sucdess");}   ,
    //            //调用执行后调用的函数
    //            complete: function(XMLHttpRequest, textStatus){
    //               //alert(XMLHttpRequest.responseText);
    //               //alert(textStatus);
    //                //HideLoading();
    //            },
    //            //调用出错执行的函数
    //            error: function(){
    //alert("error");
    //                //请求出错处理
    //            }         
    //         });

这是一个很简单的post例子
访问类型为post
post提交地址为http://tiantiansongfuli.com/index/qq.php
提交的数据聪明人都能想到账号跟密码两个输入框的内容

便于调试，我造了个易语言程序

依然是一个典型的post，url，提交信息，返回文本。

可以看到，当我们输入账号密码点击登录后的返回数据已经知道了。继续分析它的行为。
看不懂代码，依然没关系，ctrl+f 搜索1,看看在js的哪个部位出现了。



好的可以看到这边出现了1 。 可以看到1前边有个if，这是一个判断。
如果data=1 提示信息“QQ账号或者密码错误，请重新输入!”
如果data=2 跳转到成功页面/index/success.html
若非，信息框（“异常!”，，，）

不难猜到，盗号者服务器上的“qq.php” 都进行了怎样的操作。
记录并判断咱们发送的账号密码 错误 返回1 正确 返回2

密码泄露了，有什么危害，仅仅是改个密码就完事了吗？还记得之前的12306撞库事件吗？盗号者可以记录你的QQ密码进行撞库登录你在其它平台的账号，比如说贴吧，论坛，支付宝等，并可以通过这些平台挖掘你常用的登陆地址以及其他信息。如果你泄露的密码过多，盗号者甚至可能通过各种平台收集你的更多信息进行申诉QQ账号，达到盗号目的。



盗号者会在半夜三更大家都睡觉的时候，神不知鬼不觉的偷偷摸摸登录我们的账号并且开始群发操作，直到QQ冻结或所有好友发送完毕为止。收到消息的好友便会继续登陆领取，然后继续上当受骗。换个思路来说，这是一场违法却曝光率极大的推广方式。

关键来了，如何防止QQ被盗呢？下面琛哥哥整理一些经验给大家。
1、勿轻易在QQ上点击类似免费领取等非腾讯官方域名的链接。
2、设备锁全天打上勿关。
3、转发本篇文章给你的好友。
做到如上几点，你的QQ安全便能比肩马化腾。

catboy 发表于 2016-7-4 10:52

楼主，我绑定了QQ安全中心，开启了最高保护“至尊宝”功能，就算让他知晓了密码也无能为力了吧{:1_918:}

ljlljl0 发表于 2016-7-11 23:41

如果发现阿里云下有人进行一些违规的服务行为，请将其地址以及证据发送给我，我会进行处理

疯桦绝代 发表于 2016-7-3 15:18

我只知道我账号填的是中文 密码是nishibushishabi

寂寞ㄨ如ヮ雪 发表于 2016-7-3 15:22

楼主好样的，分析很到位，反了他啊

英杰 发表于 2016-7-3 15:26

这么老的钓鱼手法，也有人上当~醉了

英杰 发表于 2016-7-3 15:27

这么老的钓鱼手法，也有人上当~醉了

小飞虫 发表于 2016-7-3 15:28

为什么不翻到他的服务器并报警？

雨大谦 发表于 2016-7-3 15:30

前排膜拜大神深分析

LjeA 发表于 2016-7-3 15:33

ping中~~~~

tzq524d 发表于 2016-7-3 15:38

怪不得这几天老是收到。

yhxing 发表于 2016-7-3 15:47

对于这样的应该弄个水战哈哈。 试一下他的服务器~

查看完整版本: 对近期"免费领取500M流量"鱼站的分析