QQ链接病毒分析

特征

点击病毒链接后,自动会在每一时刻范围内通过所有途径群发新的病毒链接(途径包括Qzone,群聊等)

分析

首先看一下病毒链接的一个样例

http://news.soso.com/news/redirect_out.jsp?url=https://url.cn/5uSCssi?https://i.qq.com...XVfEPnCdOe

这个病毒十分狡猾,其感染链接打头的域名便是腾讯自己家的新闻网站soso新闻(从未听说过,但确实是鹅厂的),眨眼一看,这让一些稍懂网络知识的小白感觉好像很安全,但殊不知redirect_out的意思。

http://news.soso.com/news/redirect_out.jsp?url=

上面的这个网址(即感染链接前部分),其实是soso新闻站内用于重定义向的一个java服务器页面,而黑客巧妙利用了这个重定义向使得其真正目的网址隐藏其后。比如,我想要重定向至百度,那么我可以写成http://news.soso.com/news/redirect_out.jsp?url=https://www.baidu.com

所以真正的目的网址是https://url.cn/5uSCssi

但是这个网址看上去更是无害了(看这牛逼的域名url.cn),又殊不知url.cn是腾讯微博用于缩短链接的短链接服务,也就是说https://url.cn/5uSCssi也不是其真正的目标网址。在这里黑客已经埋了两个坑,这样的短链接很容易隐藏含有病毒的恶意网址,因为一般安全扫描只会扫描这个链接而不会跟着链接重定义向至目标网址。

之后,我……我也不知道怎么办了,因为https://url.cn/5uSCssi?https://i.qq.com...XVfEPnCdOe会不断重定义向,最后跳至安全的王者荣耀官网,我并不能找到其中间网址(我还是太弱了……)

于是,我试了试隐身模式……似乎在隐身模式下,跳转未成功,半路卡住了,正好碰巧暴露病毒服务器

这一路过来,层层抽丝剥茧,终于到了http://qzzoonepvp.applinzi.com/404.html?https://i.qq.com...XVfEPnCdOe,这个根域名一看就是新浪云的,而其前的qzzoonepvp就是其注册服务器的名字,哈!

于是,我哼着歌,顺利到新浪云官网http://applinzi.com/举报了这个服务器

最后,祝愿这次病毒风暴早点过去,其实病毒似乎不止这一种,还有一种不通过链接感染只发Qzone推广的病毒,本想开刀,但奈何功力尚浅,只得作罢。

更新ing,等待被感染的同学传来IP,进行对比

QQ链接病毒分析的更多相关文章

  1. "QQ尾巴病毒"核心技术的实现原理分析

    声明:本文旨在探讨技术,请读者不要使用文章中的方法进行任何破坏. 2003这一年里,QQ尾巴病毒可以算是风光了一阵子.它利用IE的邮件头漏洞在QQ上疯狂传播.中毒者在给别人发信息时,病毒会自动在信息文 ...

  2. 一份通过IPC$和lpk.dll感染方式的病毒分析报告

    样本来自52pojie论坛,从事过两年渗透开始学病毒分析后看到IPC$真是再熟悉不过. 1.样本概况 1.1 样本信息 病毒名称:3601.exe MD5值:96043b8dcc7a977b16a28 ...

  3. 小技巧——病毒分析中关闭ASLR

    原文来自:https://bbs.ichunqiu.com/thread-41359-1-1.html 病毒分析中关闭ASLR 分析病毒的时候,尽可能用自己比较熟悉的平台,这样可以大大地节省时间,像我 ...

  4. Ramnit蠕虫病毒分析和查杀

    Ramnit是一种蠕虫病毒.拥有多种传播方式,不仅可以通过网页进行传播,还可以通过感染计算机内可执行文件进行传播.该病毒在2010年第一次被安全研究者发现,从网络威胁监控中可以看出目前仍然有大量的主机 ...

  5. QQ传输协议分析

    2015-06-16 16:27:07 一. 实验目的: 在虚拟机下NAT模式下通过Wireshark抓包,分析QQ的传输模式.了解QQ在传输信息过程中用到的协议.分析在Nat模式下,信息传输的穿透性 ...

  6. 【病毒分析】对一个vbs脚本病毒的分析

    [病毒分析]对一个vbs脚本病毒的分析 本文来源:i春秋社区-分享你的技术,为安全加点温度 一.前言 病毒课老师丢给我们一份加密过的vbs脚本病毒的代码去尝试分析,这里把分析过程发出来,供大家参考,如 ...

  7. [FreeBuff]Trojan.Miner.gbq挖矿病毒分析报告

    Trojan.Miner.gbq挖矿病毒分析报告 https://www.freebuf.com/articles/network/196594.html 竟然还有端口转发... 这哥们.. 江民安全 ...

  8. Virut.ce-感染型病毒分析报告

    1.样本概况 病毒名称 Virus.Win32.Virut.ce MD5 6A500B42FC27CC5546079138370C492F 文件大小 131 KB (134,144 字节) 壳信息 无 ...

  9. Okhttp之RealConnection建立链接简单分析

    在之前的博客中我们知道Okhttp在发起链接请求先从链接池中获取连接,如果链接池中没有链接则创建新的链接RealConnection对象,然后执行其connet方法打开SOCKET链接(详见< ...

随机推荐

  1. Realsense D430 python pointclound

    来自:https://github.com/IntelRealSense/librealsense/issues/1231------------------------------ import p ...

  2. Virtual Machine Definition File 2.2

    Virtual Machine Definition File 2.2 http://archives.opennebula.org/documentation:archives:rel2.2:tem ...

  3. c语言实践 打印数字三角形

    效果如下图: 思路就是外层循环控制要打印的行数,里层循环控制每行打印的数字个数. int val = 65; for (int i = 0; i < 6; i++) { for (int j = ...

  4. Entity Framework在不同数据库下的配置

    http://blog.csdn.net/weiky626/article/details/17068593 http://blog.csdn.net/niewq/article/details/41 ...

  5. SVN常见问题及解决方式(一)

    1.每天早上上班要update SVN,每天下班要commit SVN.2.查看是谁动了我的代码,右键 tortoise 后查看 log 日志.3.文件被别人删除,在空白处右击,show log,可以 ...

  6. 使用Sqlserver事务发布实现数据同步(转)

    出处:http://www.cnblogs.com/daizhj/archive/2009/11/18/1605293.html 事务的功能在sqlserver中由来已久,因为最近在做一个数据同步方案 ...

  7. 一步到位带你入门Selenium

    其实,关于这篇文章发布前还是有很多思考的,我是不想发布的,因为关于selenium的文章博客园里面有很多的介绍,写的详细的,也有写的不详细的,那么我的这篇文章的定位是基于selnium从开始到最后的框 ...

  8. LightOJ 1284 Lights inside 3D Grid (数学期望)

    题意:在一个三维的空间,每个点都有一盏灯,开始全是关的.现在每次随机选两个点,把两个点之间的全部点,开关都按一遍,问k次过后开着的灯的期望数量: 析:很容易知道,如果一盏灯被按了奇数次,那么它肯定是开 ...

  9. Struts2 让跳转指定执行某个方法

    很多时候,我们想让jsp页面中的某个超链接,点击后执行后台的某个方法,里面该如何做呢? 这里方法很多种 我举例两种: 1.在struts.xml配置,配置如下: <package name=&q ...

  10. Java IO流的回顾与梳理(必记必会必写)