本篇文章主要来揭示QQ刷钻工具的盗号过程，让你清清楚楚明明白白地知道，你的QQ号是如何被盗走的。
自从腾讯推出QQ会员等收费业务以来， 黑客和病毒制造者就盯上了这块大肥肉。层出不穷的QQ盗号手法在互联网上满天乱飞，而那些相信天上真的会掉馅饼的菜鸟，真的会找一些刷钻工具去尝试。那些鼓吹可以使用QQ刷钻工具，将你的QQ号刷成QQ会员、QQ黄钻、QQ绿钻、QQ黑钻、QQ红钻等软件，其实都是骗你没商量，在使用刷钻工具的同时，黑客和病毒制作者却无声无息地将你的QQ号盗走了。
病毒样本介绍
先来看一下病毒相关信息，如图1所示。
File： 小秘书刷钻机.exe
MD5： 1dafba765e60870ea1f961ff1c6396e2
Size： 3.7MB
图1：病毒样本
病毒现象
病毒运行后，首先会弹出一个刷钻前必看的提示，其内容为：请务必按照后面的说明所说的去做！不然刷钻不成功就不能怪软件的错了，因为你没按照软件所说的去做！如图2所示。
图2：病毒弹出的刷钻前必看的提示
这段提示还是很有诱惑力的，如果你想免费获得QQ会员或QQ黄钻等，要想刷钻成功就必须按说明来操作，从而一步一步地引诱你直至将你的QQ号盗走。接下来，我们来看一下这个病毒是如何一步一步进行盗号的。
点击确定按钮后，病毒程序又弹出一个请发送至三个群的提示，其提示内容为：为了支持本软件，请发送至三个群或者是 论坛，系统会自动检测并只为发送了的号开通业务！发送至三个群的号才可成功开通业务！如图3所示。
图3：病毒又弹出请发送三个群的提示，用来扩散此刷钻程序
接着往下看，继续点击确定按钮，又弹出一个必看提示，其提示内容为：经过这么长的时间，小秘书钻钻2012.V_SP3终于出世啦！在此还要和大家说声对不起，由于前一段时间腾讯公司对我们软件的封杀导致了很多人刷钻出现了错误以至被封号，这次我们新出的软件采取了默认的安全模式，怎么刷都不封号！如图4所示。
图4：病毒宣传软件采取安全模式，怎么刷都不封号，欺骗小白用户
我们用之前的文章中申请的QQ号：1851119684，密码为：12345*，来进行登录刷钻，如图5所示。
图5：用之前文章申请的QQ登录刷钻
点击“ok了！登录开始刷钻！”按钮，此时病毒程序又弹出系统提示，其内容为：对不起，由于发现你的QQ账号存在安全隐患，系统将限制您登录，请到QQ安全中心排除隐患！如图6所示。
图6：病毒程序提示QQ账号存在安全隐患
接下来再点击确定按钮，弹出提示内容为：请先看说明，如图7所示。
图7：病毒程序弹出请先看说明的提示
我们发现这个刷钻病毒程序会通过不断弹出对话框的提示，每当操作完一项时，都会有提示，一步一步地牵着你的鼻子走，程序设计的滴水不漏。接下来看看，这个病毒程序还会玩出什么花样。继续点确定，出现一个假冒的QQ安全中心的盗取QQ密保的界面，如图8所示。
图8：病毒程序弹出一个盗取QQ密保的界面
界面还显示QQ安全管家检测结果为：安全字样，山寨得还挺像，可惜正常的QQ安全中心不是这个样子滴。正常QQ安全中心找回密码的界面，如图9所示。
图9：正常的QQ安全中心页面
相比之下果然很像，看来是将正常的页面截屏并山寨地修改了一下，将应该登录的位置改为填写找回QQ密保答案，迷惑大众填写正确的QQ密保答案，从而达到盗取QQ密保的目的。我们用来测试的QQ账号并没有设置密保，接下来我们继续看一下，对方是如何盗取QQ密保的。点击图8的说明必看按钮，弹出一个说明的提示，其大致内容为：查看密保问题，填写正确的密保问题及答案。显而易见，这是盗取QQ密保及答案，如图10所示。
图10：病毒程序诱使填写密保及答案的说明
点图10中的“我知道了！”按钮，又弹出一个“请务必认真执行说明所示，否则刷钻不成功！”的提示，如图11所示。
图11：病毒程序反复提示按说明操作
接下来我们先不输入密保答案，直接点击开始按钮。如图12所示，直接弹出请输入密保答案的提示，看来病毒程序还在这里做了判断，如果没有选择问题和输入密保答案，就会弹出相应的提示，实际就是山寨正常的找回QQ密保的过程。当我们选择问题及输入密保答案后，点击开始按钮就会直接盗取。
注：这里密保问题和正常QQ找回密保问题设置是一样的，事先都有相应的选项，直接选择即可，如图13所示。
图12：未选择问题及输入密保答案，弹出请输入的提示
图13：和正常找回QQ密保答案一样的问题
接下来我们输入QQ1851119684和随便选择问题及输入答案，点击开始验证，如图14所示。
图14：输入QQ号码和随便选择的问题及输入的密保答案
在点击开始验证前，我们先用smsniff抓包工具进行抓包，运行smsniff工具，点击绿色按钮start capture，smsniff工具会先让选择要抓包的网卡，我们选择正确的本机网卡，之后开始抓包。为什么要抓包？因为病毒程序要盗号，需要通过网络发包的形式来将盗取到QQ信息发出去，一般都是发到程序里指定好的QQ邮箱里。实际上，就是给程序指定好的QQ邮箱发一封邮件，将盗取的QQ信息发送到指定邮箱，如图15所示。
图15：使用smsniff工具进行抓包
设置好之后我们点击开始验证按钮，如图16所示。我们抓到了一些数据包，我们来分析一下数据包，在图16中红色框中的一条抓包数据remote address（远端地址为公网IP），且servicename为smtp，我们知道发送邮件是要用到smtp这个协议的。所以这条纪录比较可疑，下面我们看一下这条数据包的具体内容。
图16：smsniff抓取到可疑数据包
我们选中图16中的那条记录，在smsniff下部就会显示出具体的数据包内容，如图17所示。数据包开头有QQ Mail Server字样，QQ邮件服务器啊，果然是向QQ邮箱发送盗取的QQ账号信息。
图17：smsniff抓取到可疑数据包内容含有QQ Mail Server字样
接下来我们再往下看其他的数据包内容还有哪些是我们需要的，如图18所示。在抓取的数据包内有一个QQ邮箱地址及被加密的一段内容，实际这段内容是base64加密，使用base64解密工具解密后就可以查看到明文内容。
图18：smsniff抓取到可疑数据包邮件地址及加密内容
Base64加密内容如下：
MTA3MjUyMzEwMqO6MTg1MTExOTY4NA0KzsrM4tK7o7rE47XE0ae6xaOou/K5pLrFo6nKx6O/DQq08LC40rujujEyMzQ1Ng0KzsrM4r
b o7rE47XE0ae6xaOou/K5pLrFo6nKx6O/DQq08LC4tv6jujEy
MzQ1Ng0KzsrM4sj9o7rE47XE0ae6xaOou/K5pLrFo6nKx6O/DQq08LC4yP2jujEyMzQ1Ng==
将这段代码使用base64解密工具解密一下，即可查看到明文内容，如图19所示。
图19：使用redoce工具解密抓取到数据包加密内容
解密后的内容如图20所示，就是我们刚才在图14所示的QQ号码及密保问题和答案！
图20：base64解密后的内容为QQ号码及密保问题和答案
至此我们明白了，这个刷钻工具实际就是盗号病毒，根本就不是什么刷钻工具，也不可能将我们的QQ号码刷成想要的QQ会员、QQ黄钻等。如图21所示，我们点击开始按钮后，病毒程序还给我们弹出一个：“验证发送成功，请在12小时后查询您的QQ业务！（如果填写的验证信息错误，将无法突破验证）”的提示。显然，病毒制作者最后还不忘提示我们说明要输入正确的验证信息，否则无法验证的骗人提示。
图21：刷钻程序不忘提醒填写正确的验证信息
大家这里有疑问，我们的QQ号和密码是怎么盗走的，整篇文章没有提及。实际上在之前的如图5所示的地方，点击“ok了！登录开始刷钻！”按钮，病毒程序就已经通过向外发包的方法将QQ号码和密码发送到了指定邮箱。如图22所示，同理我们可以使用smsniff工具进行抓包，在点击按钮前开启抓包即可，这里就不再详述了。
图22：使用smsniff抓到base64加密内容
加密的内容如下：1cq6xaO6MTg1MTExOTY4NA0Kw9zC66O6MTIzNDUq
同样使用base64解密工具解密结果如图23和24所示。
图23：使用redoce工具解密加密内容
图24：解密后结果为我们测试用的账号和密码
一个邪恶的想法产生了，既然要向QQ邮箱发送盗取到的QQ信息邮件，那肯定要登录QQ邮箱并且要通过验证，我们再来分析一下抓取到的数据包，看看能不能找到收邮件的QQ号码账号信息。答案是毋庸置疑的，这个刷钻程序果然内置了收信的QQ账号信息，如图25所示。
图25：在数据包前面发现base64加密的内容
同样我们将这两段加密内容进行解密看一下解密结果，如图26所示。
图26：解密出收信QQ邮箱账号信息，这里隐去密码明文内容
我们用这个账号登录一下他的QQ邮箱试试，能正常登录进去，看来这个刷钻程序的作者也是一个小菜鸟啊，在刷钻程序中还内置了自己的账号信息，真是个笨贼，如图27所示。至此我们完整地分析了这个刷钻盗号病毒。
图27：成功登录病毒程序作者的QQ邮箱
目前，瑞星 杀毒软件v16已经可以完美查杀此病毒，如图28所示。
图28：瑞星v16完美查杀该盗QQ号病毒
小结
还是那句话，天上是不会掉馅饼的，天下也没有免费的午餐。大家不要抱着侥幸心理，在你获得免费午餐的同时把自己带入一个设计好的陷阱。当遇到这类工具杀毒软件报警时，请立即清除之，不要相信骗子，也不要相信在使用工具前关闭安全软件之类的说法，给自己带来不必要的损失