Cookie大盗木马分析报告区域

“Cookie大盗”木马分析报告

日前，360安全中心率先截获一款专门盗取号+Cookie的新型木马Cookie大盗。利用该木马，黑客能够获得受害用户的权限，利用受害者的空间、邮箱、说说等发布广告欺诈信息，甚至长期偷窥受害者的邮箱邮件。

据悉，以往木马盗号主要是盗号+密码，但Cookie大盗木马的攻击目标除了用户的号之外还有Cookie信息。黑客借助Cookie+ 号，可轻松获取受害者的权限。且该木马还能通过Cookie维护器定期向服务器发消息，以实现长时间控制用户权限的目的，而Cookie提取和倒卖也已经成为木马黑色产业链洗号的重要手段。

据安全工程师介绍，Cookie大盗主要通过虚假色情站传播，其危害包括：监视邮箱邮件、洗劫账户虚拟财产、利用社工骗取受害者家属钱财、利用受害者空间发广告和欺诈信息、刷日志转载、刷说说分享、加认证空间关注等。

目前，360安全卫士和杀毒均可拦截查杀Cookie大盗木马。如果有用户因使用外挂、色情播放器而冒险关闭安全软件中了木马，一旦发现自己空间发布异常的广告信息、或关注了陌生账号，应立即注销账号并重新登录。或者立即通过安全中心修改密码，从而使木马盗取的Cookie认证信息失效，以避免遭受更大的损失。

图：360安全卫士拦截Cookie大盗

附：Cookie大盗木马分析报告

1、木马传播：虚假色情站播放器

Cookie大盗主要通过虚假色情站传播：

木马伪装为视频播放器的引导程序：

值得注意的是该色情播放器引导程序还会流氓推广一些软件，如下图所示e(盗用鲁大师图标)则是Cookie大盗木马：

2、木马原理：盗取Cookie+号

木马启动后，先制作一段盗取Cookie的页代码：

之后通过mshtml的execscript执行插入的代码，类似于购木马的手法：

窃取到用户Cookie信息：

再盗窃用户账号、昵称这些信息，然后打包发到木马后台：

3、木马盗Cookie目的：获取受害用户权限

登录之后会返回的Cookie中，带有一个stkey的值。通过stkey，能够计算出一个校验值，利用这个校验值，就可以向空间发送消息，添加关注，甚至查看邮箱邮件等，拥有受害者的权限。

利用受害用户发广告：

各类营销工具也在上泛滥：

4、以关注某个认证空间具体的案例还原整个过程：

①、用户本地运行 Cookie大盗之后，木马上传账号和昵称信息以及Cookie信息到木马后台;

②、木马作者在后台收集N多此方法盗取的Cookie，然后用它们自己的Cookie维护工具进行维护，以防Cookie失效;

③、传统意义上的信封交易正在从以账号、密码为内容迁移到以账号、Cookie为内容;

④、有了受害者的账号以及Cookie，有的人用来做日志转载，有的人做说说分享，有的人做关注认证空间。上可以找到一款关注认证空间的工具，截图如下：

关注空间的技术原理也很简单，就是从Cookie中提取出skey这个参数

然后按照如下的算法，计算出g_tk

得到g_tk之后，发包完成关注操作：

其它日志转载等操作与之类似。

5、新型洗号手段：倒卖Cookie

以往木马盗号洗号主要目标是账号和密码，如今不法分子洗号则是利用Cookie提取器提取Cookie，然后进行倒卖。在某些论坛和贴吧里，黑客工具作者正在公开售卖如下Cookie提取工具：

6、360安全软件可防御

拦截木马下载地址：

木马防火墙主动防御：

对木马盗取Cookie进行拦截：

对木马发送信息进行拦截：

7、关闭安全软件而中招怎么办：立刻让Cookie失效

登录Cookie的有效期一般都不长，但是攻击者拿到Cookie后会定期向腾讯服务器发送消息，保持Cookie有效进行长时间控制。如果友发现自己账号出现异常情况，应注销账号重新登陆，使原Cookie失效;此外，访问安全中心修改密码，也可以使Cookie失效，从而摆脱Cookie大盗的控制。

关注ITBear科技资讯公众号（itbear365 ），每天推送你感兴趣的科技内容。

特别提醒：本内容转载自其他媒体，目的在于传递更多信息，并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。

海口治疗白斑的医院
女性阴虚吃什么药最好
自贡治疗白癫风医院