网络惊现用户登录信息

    即时聊天工具(IM)如今越来越广泛地被大家所采用，其功能也日趋复杂多样。除了最基本的聊天功能，博客，网络相册，网络游戏等也被纳入其中。信息共享和管理变得更加容易，甚至连银行理财等传统行业的业务也可以在网上实现，极大丰富了我们的网络生活。

    然而，大家在享受高科技带来的便利之余，也切忌不能掉以轻心。一些心怀不轨的“黑客”可能正在对您的个人信息虎视眈眈着，尤其是可以带来直接经济效益的信息—网络账号便是他们的目标之一。

    近期爆出的某IM软件信息丢失事件再次为我们敲响了警钟。有网民尝试在搜索引擎中输入一组“[IM名称]密码文件 filetype:txt”之类的关键词，发现了大量包含被盗账户信息文件下载的搜索结果。经尝试，部分帐号和密码确实有效，不仅能够顺利登陆，而且被盗用户名下的网络相册、博客内容也可以一览无遗。

    攻击者为何会如此“高调”地展示他们的“黑客”成果？这些被盗的账号和密码为什么会出现在网上供人随意下载？初步分析显示，当攻击者利用木马盗取账户信息以后，他们通常会将含有账户登录名和密码的txt文件保存在某个FTP服务器上，或通过email发送。然而，有些攻击者可能将这些FTP服务器的访问权限设置得很低，甚至忘记设置访问权限，因此搜索引擎能够抓取这些页面，令页面包含的信息也一并公开，而这些信息自然就可以被公众所浏览和下载。

    盗取IM帐号的木马有很多种，这里我们以其中一个木马为例，给大家演示一下它是如何“得逞”的：

    首先，木马利用正版IM软件图标以假乱真，伪装进入受感染的计算机。当用户运行假冒的IM程序后，该程序会在计算机桌面上创建一个同真正的IM完全一样的快捷方式，包括图标和名称。同时跳出的伪造的IM登陆窗口会提示用户输入登陆信息。该窗口也同真正的IM登陆窗口一模一样，不过只有“账号”、“密码”、“登陆”这几个信息栏或按钮被激活，其他的诸如“申请账户”、“忘了密码？”、“查杀木马”等键都无法点开。这显然同攻击者的目的非常吻合—他们只需要盗取用户的账号和密码，并利用“登陆”键激活被盗信息的传输，其他的按键只是为了令登陆窗口看起来更逼真而已。虽然真假窗口有这些明显的不同之处，但由于用户通常忽略这些细节，因此，攻击者仍然有机可趁。

    我们在这个假冒的登录窗口中输入了一组随意的数据—登录名“123456789”以及密码“testaccount”。

    一旦点击“登录”键，恶意软件便在后台运作起来，记录刚刚输入的账户信息“user=123456789&pass=testaccount”，并试图连接远程恶意服务器“qazx.ok[REMOVED].net”企图将这些窃取的信息传输出去。

    恶意服务器收集所有传输过来的信息，并保存在文章开始时提到的.txt文件中。如果这些文件没有被妥善保管，信息便会被流传到大众可以访的互联网络中，令后果更加严重。

    为了避免遭受类似的安全威胁，我们建议用户从官方网站下载即时通讯工具（IM），而不要从一些未经安全验证的网站下载所谓的升级版本或带有一些花哨功能的版本。安装有效的杀毒软件从而保护您的电脑远离病毒威胁。 

    上网给我们带来便利，也暗藏潜在的安全威胁，一定要注意分辨“馅饼”和“陷阱”，才能更多更好的享受互联网络的乐趣！

    特别感谢Xie Xiaojun为本文提供病毒分析支持。