如果你收到一封“我有个朋友说认识你,这是他的照片,你打开看下”的邮件,注意切勿打开邮件附件,因为这是最新的“QQ黏虫”木马变种。根据360安全中心分析,该木马可以伪装QQ登录框,在用户输入帐号密码窃取数据。最近一周,360安全卫士已拦截该“QQ黏虫”变种超过4万次。
图:360安全卫士拦截“QQ黏虫”木马变种
“QQ黏虫”是2011年十大高危木马之一,其最新变种的盗号手段更为隐蔽:一旦有网民中招,木马会暴力关闭QQ进程,再伺机“偷拍”电脑桌面,把真正的QQ登录框隐藏后,代替以其截图仿真的木马登录框,诱骗用户填写帐号密码。
“如果遇到QQ异常关闭,大多数情况都是木马作怪。”360安全专家石晓虹博士表示,不法分子盗号后,除了窃取帐号关联的虚拟财产,还有可能假冒身份向丢号者的亲友借钱,从而对网民造成更严重的经济损失。
针对“QQ黏虫”盗号手段,360安全卫士和360杀毒均已升级防护,能够主动防御木马伪装QQ登录框,全面封杀“QQ黏虫”系列变种。石晓虹博士建议广大QQ用户,如果遇到陌生人发来照片的情况,应先查毒再打开,以免重要帐号被木马窃取。
附:“QQ黏虫”木马变种分析
传播渠道
通过电子邮件传播,盗号者发送一封“我有个朋友说认识你,这是他的照片,你打开看下”的邮件,邮件附件即为木马。
木马工作流程
木马原始文件名:像片.EXE,文件大小:647KB (662,528字节)
木马工作流程如下:
木马运行现象
一、“QQ黏虫”木马变种加了ASP的壳,运行之后,首先弹出一个虚假的文件出错提示麻痹用户,其实木马已经偷偷运行:
二、木马运行后结束QQ进程:
三、之后不停查找QQ窗口,等待QQ运行:
四、找到QQ窗口后对其截图,并把真正的QQ登录框隐藏到用户不可见的位置,(3000,3000,即屏幕可见范围之外):
五、弹出木马伪装的QQ登录窗口:
六、取得QQ号和密码后通过ASP提交到服务器,该木马同时具有通过邮件发送QQ号码和密码的能力,以下为邮件发信代码:
预防和查杀
木马试图移动QQ窗口时,360安全卫士会弹出警告,予以拦截:
360云安全引擎可全面识别并查杀此类黏虫木马: