灵魂暴击：聊天记录被抓包

  近日，360互联网安全中心拦截到多例攻击“PC聊天工具”的窃密者木马，该类木马主要通过聊天工具进行定向传播，运行之后会窃取本机正在运行的QQ好友、所加群内联系人以及微信聊天信息等内容，并通过邮件发送到攻击者邮箱，目前受害者已超1800位。
     该类木马表面上是身份证照片、订购单、截图等，实际上是后缀为.exe、.cmd等的可执行程序，一旦运行就会在后台收集受害者信息。首先会通过访问QQ本地快速认证接口得到ClientKey，之后带着该参数获得受害者QQ联系人、群成员信息。

获取QQClientKey

联系人及群信息接口

     第二步，判断微信PC版的进程是否启动，若启动则开始收集微信数据。通过微信PC版全局配置文件获取到当前登录用户的数据存储路径，解析当前登录微信的帐号、联系人、聊天记录等信息。

生成的运行日志

由于微信聊天数据通过Sqlite同时设置密钥存储于MicroMsg.db，并且该密钥在登录时动态生成，每次各不一样，只存储于微信的内存中，所以“窃密者”通过读取微信内存数据提取该串密钥。

读取微信内存数据

所有数据提取完毕之后，会将文件全部打包为“QQ好友.zip”，通过动态执行VBS脚本将上述附件以邮件方式发送给自己。

通过邮件回传受害者信息

受害者被窃取的数据内容

此类木马主要通过聊天工具定向传播，具备较强的目的性，一般受害者在事发当时难以察觉异常，为此，360安全专家给出如下建议：
1、不接收、不点击来源不明的文件，打开文件前务必看清文件后缀。
2、养成良好的上网习惯，避免使用弱密码并定期更新，不在聊天中透漏涉及钱财的信息。
3、360安全卫士可精准查杀该类木马，建议广大用户及时安装并保证其正常运行，以防护电脑安全，PC端复制链接http://weishi.360.cn/ 即可下载体验。

来源  360安全卫士