【消費(fèi)電子實(shí)驗(yàn)室-2014/4/28】相信不少用戶都或多或少地遇到過類似的情況，總是在朋友的QQ空間、QQ微博看到一堆莫名其妙的垃圾廣告文章，總是在群空間看到一些人上傳“奇奇怪怪”的文件，總是收到騙子冒充好友發(fā)來的詐騙信息。如此種種數(shù)不勝數(shù)，同樣令人防不勝防。

　　那么究竟是誰在背后搞鬼？早期猖獗活躍的QQ盜號(hào)木馬，在經(jīng)過殺毒軟件的長期打壓以后已經(jīng)越來越少。黑客利益團(tuán)伙開始將黑手伸向QQ帳號(hào)驗(yàn)證的另一把開門“令牌”，這把“令牌”就是QQ用來驗(yàn)證用戶身份的鑰匙（ClientKey），它不是密碼又勝似密碼，拿到這把“令牌”以后黑客就可以使用他任意遠(yuǎn)程操作用戶的QQ。而前面提到的種種煩惱大多都是用戶QQ的這把“令牌”被黑客盜取導(dǎo)致的后果。

被黑客盜取的QQ“令牌”（ClientKey）

　　盜取QQ“令牌”和盜取QQ密碼可以達(dá)到相似的作用，同時(shí)也有其特別之處：

　　 1.技術(shù)實(shí)施上更加簡單有效，直接調(diào)用QQ的快速登錄接口就可以獲取到“令牌”。QQ一直在不斷加強(qiáng)對(duì)QQ登錄的保護(hù)，殺毒軟件也在不斷加強(qiáng)對(duì)盜號(hào)木馬的查殺防御，傳統(tǒng)的盜號(hào)技術(shù)手段已經(jīng)很難取得好的效果，黑客只能另辟蹊徑對(duì)QQ的另一安全認(rèn)證軟肋進(jìn)行下手。

　　2.傳播廣度大、速度快。黑客往往通過盜取的QQ“令牌”向用戶的群空間上傳捆綁病毒的文件，或者向用戶QQ好友發(fā)送木馬文件。每個(gè)中招的用戶都可能成為下一個(gè)傳播源頭，“一傳十，十傳百”的蠕蟲病毒式傳播手段可以快速感染大批量的用戶。

　　3.利用方式隱蔽，影響危害巨大。QQ“令牌”被竊取不亞于登錄密碼被盜。除了被黑客用來傳播病毒木馬以外，多被用來傳播營銷廣告，甚至是欺詐信息，對(duì)用戶的安全威脅非常嚴(yán)重。

　　毒霸安全中心分析，QQ旗下大部分使用QQ“令牌”驗(yàn)證身份的業(yè)務(wù)，甚至包括支持QQ快捷登錄的第三方網(wǎng)站，都可以被黑客使用QQ“令牌”繞過驗(yàn)證實(shí)現(xiàn)遠(yuǎn)程操作。一旦被黑客盜取QQ“令牌”，就可以拿來直接登錄用戶的QQ空間、郵箱、朋友網(wǎng)等，用戶的私密日志、照片在黑客眼下曝光無余。

　　用戶的隱私照片在黑客眼下曝光無余

　　

　　黑客盜取QQ“令牌”以后，通過偽造數(shù)據(jù)包可以直接在遠(yuǎn)程服務(wù)器上直接操作用戶QQ，這個(gè)“令牌”在用戶不修改密碼的情況下可以甚至可以保持長期有效，所以往往是用戶剛剛刪除了垃圾日志就又被黑客重新發(fā)布，尤其是不斷發(fā)送給好友的欺詐、色情信息，一旦中招帶給用戶的不僅僅是財(cái)產(chǎn)的損失，更是親友間的尷尬處境。

　　下面我們通過一個(gè)實(shí)際案例來認(rèn)識(shí)下這個(gè)QQ“令牌”木馬：

　　近日，我們接到用戶反饋，用戶小G發(fā)現(xiàn)他的同學(xué)群和工作群都發(fā)現(xiàn)有人上傳了一個(gè)名為“群成員聯(lián)系方式[必看].htm”網(wǎng)頁文件，沒想到下載運(yùn)行后電腦就出奇的卡和慢，隨后就被自動(dòng)安裝上一堆莫名其妙的軟件，拼命彈廣告，怎么關(guān)都關(guān)不掉。

打開后會(huì)跳轉(zhuǎn)到微云網(wǎng)盤的下載頁面

　　我們聯(lián)系到小G后，第一時(shí)間取到文件進(jìn)行分析，技術(shù)人員發(fā)現(xiàn)這個(gè)所謂的“群成員聯(lián)系方式[必看].htm”文件打開后，里面只有一行代碼（打開這個(gè)網(wǎng)頁會(huì)跳轉(zhuǎn)到以下網(wǎng)址），打開后會(huì)跳轉(zhuǎn)到騰訊微云，里面是一個(gè)共享文件“群成員聯(lián)系方式[電子版].exe”。

開啟毒霸防御會(huì)提示用戶此跳轉(zhuǎn)網(wǎng)站存在欺詐風(fēng)險(xiǎn)

　　技術(shù)人員從跳轉(zhuǎn)的微云鏈接中下載“群成員聯(lián)系方式[電子版].exe”放到桌面，還沒來得及運(yùn)行這個(gè)程序，金山毒霸立即提示發(fā)現(xiàn)病毒，建議立即清除。其實(shí)這個(gè)文件并不是什么群成員聯(lián)系目錄，經(jīng)過技術(shù)人員分析，其實(shí)里面打包了一堆流氓軟件和一個(gè)專門盜取QQ“令牌”的惡意木馬，不小心中招以后不僅僅會(huì)被安裝上大批的流氓推廣軟件，電腦運(yùn)行越來越卡頓；還會(huì)被黑客盜取QQ“令牌”成為下一個(gè)木馬傳播源頭，向群共享或者好友出發(fā)送相同的QQ“令牌”木馬。

毒霸系統(tǒng)保護(hù)精準(zhǔn)攔截安裝包里捆綁的木馬文件

　　金山毒霸安全專家介紹說，如果黑客一旦得到盜取的QQ“令牌”就可以直接登陸QQ相關(guān)的網(wǎng)站及第三方與QQ關(guān)聯(lián)的登錄接口，用戶的個(gè)人隱私信息和虛擬財(cái)產(chǎn)將陷入危機(jī)。一旦發(fā)現(xiàn)自己或者朋友的空間被發(fā)布營銷廣告或者發(fā)送詐騙信息，最直接有效的辦法就是立即修改QQ密碼讓被黑客盜取的QQ“令牌”失效。