网络安全教程：混入QQ官方消息的钓鱼网站

【 tulaoshi.com - QQ专区 】

　　QQ弹出的官方消息，很多人都会深信不疑吧？可一定要小心！因为病毒也可以伪造QQ官方消息。

　　病毒类型：广告病毒

　　病毒目的：进行网络钓鱼

　　真实体验：QQ官方消息也有假？

　　QQ10000，也就是大家常说的QQ官方消息专用号码。它代表QQ官方，所以大家都相信它里面的内容。如果QQ官方消息里面含有钓鱼网站，大家因为信任QQ官方而访问，就很可能上当受骗。

　　各位兄弟姐妹，你们碰到过弹出伪造QQ官方消息的病毒没有？反正我是遇到过，还被它雷得外焦里嫩，下面就要给大家说说。几天前，我正在网上看甲型H1N1流感的新闻，QQ的小喇叭就闪动起来。打开一看，是一个中奖消息(图1)。

　　第一反应是怀疑，这个消息到底是真是假？再仔细看时，发现这条消息是QQ10000发来的，是QQ的官方消息。或许我真的中奖了？!腾讯十周年庆典，我成为了幸运用户，我的运气不是一般的好。

　　我兴奋地点击了“查看详情”登录了领奖网站，中奖QQ网友的名单在不断地滚动，其中就有我的QQ号码。在网页中领奖区域，输入了自己的QQ号码和幸运码，系统提示我中奖信息验证成功。

　　不过，系统也提示要领取奖品还需要缴纳一笔1500元的公证费。看到这里，我才反应过来，这个网站有问题。腾讯说过“腾讯公司所有的中奖活动都会在官方主页上进行公布。对于参加腾讯公司活动中奖的用户，腾讯公司不会收取任何费用”。此外，QQ官方还时常弹出消息要大家不要相信所谓的中奖信息。

　　以前，我的QQ和邮箱经常收到所谓的中奖链接，开始的时候还会点击这些链接，发现都是骗人的，后来就直接忽视它们。这次如果我不是信任QQ官方消息，根本不会点击中奖链接，险些上当。

　　病毒是怎样伪造QQ官方消息的？

　　为什么会弹出假冒的QQ官方消息？我怀疑自己的电脑中了毒，于是断网杀毒对系统来了个彻底大扫除。病毒清除后，我把这事情跟一位朋友说起，抱怨这种卑鄙无耻的钓鱼方式。

　　朋友看了我给他的扫描截图后，告诉我是《QQ10000系统插件生成器》在搞鬼(图2)。它是个什么东东？朋友给我进行远程演示。在软件界面左边的“插件打开地址”处输入钓鱼网址，其他的选项默认，接着在软件右边的“新闻框内容”和“消息框内容”输入诱惑人的文字即可。这么简单设置后，一个能弹出QQ10000的病毒就生成了。

　　病毒原理：病毒通过木马下载器进入系统后，会在同一个目录里面释放批处理jcreate.bat，通过它可以关闭《360安全卫士》的进程，接着将病毒文件复制到系统的system32目录中并命名为winlegon.exe。

　　通过病毒名称可以看出，病毒将自身文件伪装成系统文件winLogon.exe，然后将各个监控项目的设置信息修改成“关闭”，最后添加自身到注册表的Run启动项，从而实现病毒随机启动的目的。

　　病毒加载完成以后，会在系统进程中查找QQ的进程。如果查找到有QQ进程，则继续查找QQ软件在右下角的图标，然后模拟一个QQ消息，将病毒文件里面的内容弹出，引诱用户点击进入钓鱼网站里面。

　　严防死守 让QQ不弹假消息

　　第一步：该病毒自保能力不强，可以先考虑用杀毒软件来对付。启动杀毒软件病并确保病毒库是最新的，然后进行全盘查杀。如果该病毒进行过很厉害的免杀，你的杀毒软件什么也没有发现，就继续以下的操作。

　　第二步：运行进程管理工具Wsyscheck(下载地址：http://www.shudoo.com/bzsoft)，选择进程列表中的病毒进程winlegon.exe，点击右键选择“结束选择的进程”即可(图3)。由于病毒进程是一个第三方进程，因此会在进程列表中用红色显示，这样看上去就非常显眼。

　　第三步：点击Wsyscheck中的“安全检查→活动文件”，选择病毒的启动项winlegon.exe，点击右键选择“修复所选项”即可(图4)。点击Wsyscheck中的“文件管理”标签，在系统的system32目录中找到病毒文件winlegon.exe，点击右键选择“直接删除”命令即可。