Poner 发表于 2019-3-14 17:09

【公告】警惕冒充吾爱在QQ群发布的盗号蠕虫邮件

这几天,收到数位同学反馈说:“接到一大堆垃圾邮件,标题都说是吾爱收集的软件,欢迎我们去下载”,经过管理团队技术分析,和吾爱破解论坛没有任何关系,其实是冒充吾爱,通过QQ群邮件发送盗QQskey木马,再通过QQskey控制QQ邮件发送扩撒的蠕虫木马!

https://attach.52pojie.cn/forum/201903/14/162613lrhdo461hqpz22dr.png(图片内网址均为木马网站,请勿访问!!!)

https://attach.52pojie.cn/forum/201903/14/162959kcz1bylalbxpvxll.png(图片内网址均为木马网站,请勿访问!!!)

一:木马分析
由于木马网址中都是用热门软件进行传播,所以中招用户很多,木马功能简单的来说就是通过QQ接口拿到QQskey,有了QQskey就可以控制邮箱,再通过邮箱群发群邮件进行蠕虫传播,邮件内容通过线上网站获取,木马本身具有盗取Steam账号功能,通过自动传播来盗取游戏账号,比如如果你中招了,那么除了盗了你的游戏账号以外,还会给你的群群发木马邮件,让你成为木马的传播者,这就是蠕虫。

这个木马的老版本已经被论坛@xuing 大神分析过了,详见:
群邮件钓鱼软件的简单分析并拿到后台
https://www.52pojie.cn/thread-884424-1-1.html
下面我们来说说这个新版不同的地方,木马传播的蠕虫邮件都是从线上获得,所以可以随时变换,防止被封,目前2019年3月14日的信息如下

木马邮件使用的主题获取地址:
http://www.lanzouyunpojie.com/q1/zhuti.txt

www.tianpojie188.com搬砖搜集吾爱软件内部使用{禁止倒卖外传}(変殸?加速?百度云下载?等)复制主题链接下载
木马邮件使用的正文获取地址:
http://www.lanzouyunpojie.com/q1/zhengwen.txt

{http://www.tianpojie188.com搬砖搜集吾爱软件内部使用{禁止倒卖外传}复制主题进入总网盘(御姐変声噐加速噐等)
萌妹変声噐:http://www.tianpojie188.com/bsq 网游UU加速器免费版:http://www.tianpojie188.com/uu 赛博网游加速器免费版:http://www.tianpojie188.com/jsq 国产小电影:http://www.tianpojie188.com/xdy
http://www.lanzouyunpojie.com}
未开放的木马说说功能获取地址:
http://www.lanzouyunpojie.com/q1/shuoshuo.txt
木马获取盗号群(可以看到群主QQ是2714324126,另外一位管理员是1307994836,空间有照片,年龄不大胖呼呼的,女朋友很乖巧,你干这事就不怕女朋友知道吗?):
http://www.sk408.com/qun.txt

579262147
木马通过网站获取进行盗号数据提交了,不再用mysql了,应该是被xuing大神搞了以后改版了,提交地址:
http://www.sk408.com/muma/lianjie.php
http://www.sk408.com/muma/jianpanjilu.php
另外木马作者加了一个总开关,可以关闭木马运行,目前是打开状态
http://www.sk408.com/mumabanben.txt


木马还考虑到QQ邮箱没开通帮你开通邮箱,即使遇到验证码,木马也不怕,它还接入了api.ruokuai.com平台实现自动打码功能,易语言提供的模块很丰富,小黑写起木马来也得心应手。

二、木马防范
请勿相信陌生邮件了陌生人发送的任何信息,及时在论坛对于新人发布的内容也应该抱有警惕心,学会自己分析一劳永逸,再来就是安装一个安全软件是非常有必要的,比如360(原因后面说),另外就是如果你已经中招,尽快修改QQ密码,使用安全软件查杀。

三:木马信息

木马文件

MD5: 623CDBFB3693E6F5E8454B111F0ECBD0

木马在使用传播域名:
www.sk408.com
www.lanzouyunpojie.com
www.lanzouwangpan.com
www.tianpojie188.com
www.uu0607.com
四:后话
经过论坛管理团队技术人员查实
1、这些盗号邮件与吾爱破解论坛没有任何关系。
2、该邮件均为木马团伙通过QQskey被盗用户的邮箱在各种QQ群内群发所谓。
3、邮件发的网站中的部分软件确实有来自吾爱的,但均被木马团伙额外捆绑了盗号木马。

在昨天我们就已经将木马的详细信息和作案网址同步给360和腾讯,但经过我们测试360已经可以拦截木马网站,但QQ一直未能拦截,还请官方人员看到此贴后尽快拦截,以防更多人受害,另外不知道腾讯什么时候能把QQskey利用这个大漏洞补上,各种盗号层出不穷,基本都是围绕这个漏洞。

最后感谢大家一直以来对吾爱破解论坛的支持和维护,论坛安全离不开大家监督,任何违法违规的行为都逃不过大家的眼睛和管理的审查,对待此类*渣论坛绝不手软,坚决处罚到底!

psx_810 发表于 2019-3-14 17:41

哈哈,这个我已经分析完了,准备在52发帖,被你抢先了

Poner 发表于 2019-3-14 17:28

renyangyu 发表于 2019-3-14 17:27
很强大   木马外挂怎么都是易语言的易语言成木马外挂专用语言了嘛

那是因为这些没技术的渣渣只会用易语言估计让这些渣渣用C写个hello world都不会

Hmily 发表于 2019-3-15 11:18

20190315,木马作者应该看到本贴了,已经关闭了绝大多数传播网址,只保留了www.uu0607.com在传播木马,收信控制端域名更换,云端控制连接更换,具体如下:

http://www.ldxfb.com/muma/jianpanjilu.php
http://www.ldxfb.com/muma/lianjie.php
http://www.sk408.com/zhuti.txt
http://www.sk408.com/hengwen.txt
http://www.sk408.com/shuoshuo.txt
http://www.sk408.com/qun.txt
木马:

MD5: F9A6AB72A828B7D713EA50127289F446

闲月疏云 发表于 2019-3-14 17:37

这人是得有多恨吾爱, 作死还特地抹黑一把吾爱, 结果被上门点名......
P.S. 能转嘛, 想让更多的人了解这个木马

太上忘情 发表于 2019-3-14 17:17

我擦我好像是收到过好多,不过想想 本身就是吾爱会员要什么下什么就懒得点开了{:1_890:}

时光里的一缕风 发表于 2019-3-14 17:22

顶起,顶起

倪嗷嗷 发表于 2019-3-14 17:57

我点开了...才感觉好像网址不对劲   就关了..想问下会不会有影响..。{:301_1008:}

wuzhixiong 发表于 2019-3-17 21:15

厉害了好

Poner 发表于 2019-3-14 17:19

痴语 发表于 2019-3-14 17:16
这构成违法犯罪行为吗?可以报警吗?

如果有财产损失的话可以咨询一下110

len 发表于 2019-3-14 17:14

昨天还收到了

痴语 发表于 2019-3-14 17:15

没人举报这个人?我加他好友被拒绝了

痴语 发表于 2019-3-14 17:16

这构成违法犯罪行为吗?可以报警吗?

po1718 发表于 2019-3-14 17:19

xsp 发表于 2019-3-14 17:20

怎么会有这种盗号的人,盗号对他们有什么好处吗?

盛世开元 发表于 2019-3-14 17:20

我也收到了,但是我没打开
页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: 【公告】警惕冒充吾爱在QQ群发布的盗号蠕虫邮件