一键盗取QQ|免费一键盗qq密码( 二 )

图3-5获取QQ头像的软件交互界面

图3-6获取QQ头像的实现源码
在显示破解成功之后，为了进一步获取用户的信任，软件假意尝试登录QQ,用户看来，它会打开QQ,进行登录操作，发现真的提示登录成功了。作为技术人员的我依旧不信，来到源码中，我发现所为的打开扣扣登录，不过是加载提前准备好的QQ登录界面为背景，将你要破解的QQ显示在上面，为了大家一眼看破它的骗术，这里将手机的开发者选项中显示布局边界模式打开。QQ登录界面和应用资源文件，如图3-7所示：

图3-7 QQ登录界面和应用资源文件
3.2 宿主的增殖
该“宿主”软件，其真实目的是在于传播病毒软件，虽然伪装成QQ盗号，测试登录成功，但用户是不可能看到QQ内部信息的，上面也说过了。当你真的相信它能够获取QQ密码之后，它就开始了自己的计划。先后通过诱导用户QQ群分享，下载安装色情软件，之后进行QQ群内分发等进行着“宿主”和病毒软件的爆炸式增殖。
首先，提示密码获取成功之后，用户看到的是*字符，软件提示用户，如果需要获取密码，则必须分享信息到10个不同的QQ群，诱导分享的软件交互界面，如图3-8所示：

图3-8诱导分享的软件交互界面
我们尝试进行分享，分享的信息中不是此软件的使用信息，而是诱导用户进入某个扣扣群的信息，在对源码分析时，我们可以发现它的多个QQ群号码。分享信息QQ群，如图3-9所示：

图3-9分享信息QQ群
在最新版的病毒源码中，我们无法直接获取分享推广的QQ群，因为它从服务器动态的获取，通过分析我们获取到它的服务器地址是http://www.******.cn/j.txt，抓取协议包内容，得到分享信息QQ群，如图3-10所示：

图3-10 服务器分享QQ群信息
得到它大量的推广QQ 群之后，我们伪装成受骗用户，加入群聊，看到它在不断的诱导用户分享和使用“宿主”软件和病毒软件，下面是病毒推广QQ群602***462的共享群文件，如图3-11所示：

图3-11共享群文件
其次，除了上面诱导用户获取破解成功的QQ 密码进行分享拉人进群，之后再进行传播之外，“宿主”软件本身也集成了动态的推广下载功能，它使用色情信息为诱百思特网因，诱导用户进行下载和使用病毒软件，诱导用户进行下载的伪装色情信息软件交互界面，如图3-12所示：

图3-12 伪装色情信息软件交互界面
经过研究和测试，发现用户点击下载之后，并不能时常如愿，下载得到的病毒软件可能是色情软件，也可能是游戏类软件等，它的下载地址是动态的从服务器端获取得到的，通过技术手段得到它的服务器地址是http://www.******.cn/1.txt和备用地址http://www.******.top/1.txt，获取协议包的内容，可以获取推广病毒软件的下载地址http://store.*****
.com/apk/self/tytan0605111.apk，此病毒下载地址为动态的变化地址，一般根据响应体中的应用名变化，如图3-13所示：

图3-13 推广病毒软件的下载地址
四、推广病毒查杀
在利益的驱使下，“宿主”软件经过不断的变型和更新，它推广的病毒也在不断的增加，从色情类到游戏类，从色情推广到私自发送短信订制扣费业务，它的恶意也是不断的传播开来。在此，我们对其具有代表性的推广病毒进行恶意行为研判和主要恶意行为的简单分析。
我们分析一款名称为“宅男福利社”的推广软件，经过研究人员研判，该软件主要具有以下主要恶意行为。软件运行后，请求发送短信，删除短信，获取联系人等权限，之后私自发送短信订制扣费业务，具有恶意扣费属性；软件运行期间，监听用户短信，获取用户联系人和电话，具有隐私窃取属性。
4.1 恶意扣费
软件运行时，得到发送和删除短信的权限后，开启疯狂发送订购短信的模式，发送短信的交互界面与手机短信箱，如图4-1所示：

图4-1发送短信的交互界面与手机短信箱
之后我们通过抓取协议包，可以看到它的发送内容和主控地址http://***.***.***
/index.php/API/UrlPlus/soid/8mh1gvqpckgnvsE8ptalAnEe，如图4-2所示：