“QQ黏虫”变种来袭偷拍桌面伪装盗号
来源:中国电子政务网 更新时间:2012-04-14

如果你收到一封“我有个朋友说认识你,这是他的照片,你打开看下”的邮件,注意切勿打开邮件附件,因为这是最新的“QQ黏虫”木马变种。根据360安全中心分析,该木马可以伪装QQ登录框,在用户输入帐号密码窃取数据。最近一周,360安全卫士已拦截该“QQ黏虫”变种超过4万次。

图:360安全卫士拦截“QQ黏虫”木马变种

QQ黏虫”是2011年十大高危木马之一,其最新变种的盗号手段更为隐蔽:一旦有网民中招,木马会暴力关闭QQ进程,再伺机“偷拍”电脑桌面,把真正的QQ登录框隐藏后,代替以其截图仿真的木马登录框,诱骗用户填写帐号密码。

“如果遇到QQ异常关闭,大多数情况都是木马作怪。”360安全专家石晓虹博士表示,不法分子盗号后,除了窃取帐号关联的虚拟财产,还有可能假冒身份向丢号者的亲友借钱,从而对网民造成更严重的经济损失。

针对“QQ黏虫”盗号手段,360安全卫士和360杀毒均已升级防护,能够主动防御木马伪装QQ登录框,全面封杀“QQ黏虫”系列变种。石晓虹博士建议广大QQ用户,如果遇到陌生人发来照片的情况,应先查毒再打开,以免重要帐号被木马窃取。

附:“QQ黏虫”木马变种分析

传播渠道

通过电子邮件传播,盗号者发送一封“我有个朋友说认识你,这是他的照片,你打开看下”的邮件,邮件附件即为木马。

木马工作流程

木马原始文件名:像片.EXE,文件大小:647KB 662,528字节)

木马工作流程如下:

黏虫

木马运行现象

一、“QQ黏虫”木马变种加了ASP的壳,运行之后,首先弹出一个虚假的文件出错提示麻痹用户,其实木马已经偷偷运行:

二、木马运行后结束QQ进程:

三、之后不停查找QQ窗口,等待QQ运行:

四、找到QQ窗口后对其截图,并把真正的QQ登录框隐藏到用户不可见的位置,(30003000,即屏幕可见范围之外):

五、弹出木马伪装的QQ登录窗口:

六、取得QQ号和密码后通过ASP提交到服务器,该木马同时具有通过邮件发送QQ号码和密码的能力,以下为邮件发信代码:

预防和查杀

木马试图移动QQ窗口时,360安全卫士会弹出警告,予以拦截:

360云安全引擎可全面识别并查杀此类黏虫木马: