有無數上網用戶每天都在使用QQ，大家往往注重于QQ尾巴病毒、QQ傳木馬之類的攻擊方式，卻很少有人注意到我們經常訪問的QQ群、QQ空間里面隱藏著更大的安全危險，遠比QQ尾巴病毒、QQ傳木馬之類的隱蔽得多，危害更加大。今天我們就來看看攻擊者是如何在QQ群和QQ空間中掛上網頁木馬，攻擊瀏覽用戶的！
一、QQ群中簡簡單單掛木馬
在一個比較火的QQ群里掛上網頁木馬，一定很容易得到許多肉雞的。怎么在QQ群里掛馬，是在群里面群發木馬的網址嗎?現在已經不會有人上這樣的當了。我們要作的只是在群里面發一個作了手腳的帖子。
步驟一：制作網頁木馬
在攻擊前，我們首先要制作好一個木馬網頁。這里筆者使用了“上興遠程控制木馬V2006”，這個木馬功能非常強，以前筆者曾作過介紹。用上興生成木馬服務端程序“muma.exe”后，將服務端上傳到某個網站上去，假設地址為“http://www.binghewu.com.cn/muma.exe”。
打開“南域劍盟網頁木馬生成器”，在中間的“URL”處填入木馬的鏈接地址，點擊“生成”按鈕，將會在生成器當前目錄下生成一個名為“script.txt”的文件(如圖1)。用記事本打開剛才生成的“script.txt”文件，可以看到木馬代碼，代碼是經過加密的，一般人很難看出這是網頁木馬代碼來(如圖2)。復制所有代碼，然后將代碼插入到任意一個正常的網頁中，就可以得到一個網頁木馬了。
小提示:將木馬代碼插入正常的網頁中，其位置一般是位于“”標記中間。

圖1 用木馬生成器生成木馬代碼

圖2 加密的木馬代碼

步驟二：制作SWF木馬
在以前的QQ群中，本來只需要發一張帶圖片的帖子就可以實現掛馬的目的。不過現在QQ群也改版了，掛馬就需要多一個步驟了，我們還需要將網頁木馬嵌入Flash文件中。
打開“SWF插馬工具(Icode To SWF)”，在“SWF文件”中瀏覽選擇本機上的某個正常的Flash文件;在“插入代碼”中填寫剛才與在的網頁木馬的鏈接地址(如圖3)。然后點擊“給我插”按鈕，即可將網頁木馬鏈接插入到正常的Flash文件中了。SWF插馬工具生成的Flash文件是利用了一個IE漏洞，對方打開Flash文件后，就會造成IE溢出，自動訪問木馬網頁在后臺下載運行木馬程序。

圖3 生成SWF木馬

步驟三：在QQ群中掛馬
首先將剛才生成的SWF木馬文件上傳到某個空間中，然后打開某個QQ群的BBS欄目，點擊“發表新文章”。在新文章書寫頁面中點擊“插入Flash”按鈕，輸入SWF木馬文件的網絡鏈接地址及長寬，然后點擊后面的小鉤按鈕，插入Flash文件(如圖4)。發表新文章后，當有人在QQ群中打開查看這篇文章時，就會自動播放Flash并在后臺下載運行上興木馬服務端了。

圖4 在QQ群中發布Flash木馬

小提示：當然我們也可以直接在QQ群中散布SWF木馬文件的網址，別人點擊后一樣會中木馬，不過這種方式不如發布文章隱蔽和效果好，攻擊的持續性也不強。