“QQ黏蟲”變種來襲偷拍桌面?zhèn)窝b盜號

如果你收到一封“我有個朋友說認識你，這是他的照片，你打開看下”的郵件，注意切勿打開郵件附件，因為這是最新的“QQ黏蟲”木馬變種。根據(jù)360 安全中心分析，該木馬可以偽裝QQ登錄框，在用戶輸入帳號密碼竊取數(shù)據(jù)。最近一周，360安全衛(wèi)士已攔截該“QQ黏蟲”變種超過4萬次。

圖：360安全衛(wèi)士攔截“QQ黏蟲”木馬變種

“QQ黏蟲”是2011年十大高危木馬之一，其最新變種的盜號手段更為隱蔽：一旦有網(wǎng)民中招，木馬會暴力關閉QQ進程，再伺機“偷拍”電腦桌面，把真正的QQ登錄框隱藏后，代替以其截圖仿真的木馬登錄框，誘騙用戶填寫帳號密碼。

“如果遇到QQ異常關閉，大多數(shù)情況都是木馬作怪。”360安全專家石曉虹博士表示，不法分子盜號后，除了竊取帳號關聯(lián)的虛擬財產(chǎn)，還有可能假冒身份向丟號者的親友借錢，從而對網(wǎng)民造成更嚴重的經(jīng)濟損失。

針對“QQ黏蟲”盜號手段，360安全衛(wèi)士和360殺毒均已升級防護，能夠主動防御木馬偽裝QQ登錄框，全面封殺“QQ黏蟲”系列變種。石曉虹博士建議廣大QQ用戶，如果遇到陌生人發(fā)來照片的情況，應先查毒再打開，以免重要帳號被木馬竊取。

附：“QQ黏蟲”木馬變種分析

傳播渠道

通過電子郵件傳播，盜號者發(fā)送一封“我有個朋友說認識你，這是他的照片，你打開看下”的郵件，郵件附件即為木馬。

木馬工作流程

木馬原始文件名：像片.EXE，文件大�。�647KB (662,528字節(jié))

木馬工作流程如下：

木馬運行現(xiàn)象

一、“QQ黏蟲”木馬變種加了ASP的殼，運行之后，首先彈出一個虛假的文件出錯提示麻痹用戶，其實木馬已經(jīng)偷偷運行：

二、木馬運行后結束QQ進程：

三、之后不停查找QQ窗口，等待QQ運行：

四、找到QQ窗口后對其截圖，并把真正的QQ登錄框隱藏到用戶不可見的位置，(3000，3000，即屏幕可見范圍之外)：

五、彈出木馬偽裝的QQ登錄窗口：

六、取得QQ號和密碼后通過ASP提交到服務器，該木馬同時具有通過郵件發(fā)送QQ號碼和密碼的能力，以下為郵件發(fā)信代碼：

預防和查殺

木馬試圖移動QQ窗口時，360安全衛(wèi)士會彈出警告，予以攔截：

360云安全引擎可全面識別并查殺此類黏蟲木馬：