“QQ黏蟲”狂盜QQ密碼 360獨(dú)創(chuàng)“除蟲”技術(shù)

“打開網(wǎng)友照片后QQ忽然掉線，重新登錄沒過多久，QQ就被盜號(hào)了”。近期，一類名為“QQ黏蟲”的木馬讓不少網(wǎng)民深受其害。據(jù)360安全中心分析，該木馬利用偽裝圖片傳播，運(yùn)行后以透明窗體覆蓋QQ登錄窗，“黏”走受害用戶的QQ密碼。為此，360安全衛(wèi)士創(chuàng)新推出可識(shí)別QQ登錄窗口異常的防護(hù)技術(shù)，能夠全面攔截根除“QQ黏蟲”。360也因此成為國(guó)內(nèi)目前全面防御此類木馬最有效的安全軟件。

360安全中心統(tǒng)計(jì)發(fā)現(xiàn)，目前超過半數(shù)QQ盜號(hào)木馬均為“QQ黏蟲”及其變種。這類木馬盜號(hào)分為三步：第一，盜號(hào)分子以發(fā)照片或電子相冊(cè)的名義把木馬發(fā)給QQ好友;第二，“QQ黏蟲”運(yùn)行后強(qiáng)制終止QQ程序，迫使用戶重新登錄;最后，木馬創(chuàng)建透明窗覆蓋在QQ登錄窗口上，收集受害用戶輸入的密碼信息，自動(dòng)發(fā)送到盜號(hào)分子指定的遠(yuǎn)程服務(wù)器上。

據(jù)360安全專家石曉虹博士介紹，以往木馬大多利用注入QQ或截取鍵盤記錄盜號(hào)，“QQ黏蟲”的盜號(hào)方式則改為模擬窗口，讓受害用戶自己“交出”QQ密碼，因此能夠繞過QQ“安全防護(hù)版”的防注入機(jī)制。再加上此類木馬行為隱蔽、免殺速度快，常規(guī)殺毒軟件也很難利用行為啟發(fā)或動(dòng)態(tài)啟發(fā)進(jìn)行預(yù)防。

“全面攔截‘QQ黏蟲’的方法只有對(duì)癥下藥，在其模擬QQ登錄窗口時(shí)報(bào)警攔截。這樣無論‘QQ黏蟲’如何免殺變形，都無法再竊取QQ密碼。”石曉虹博士表示，360安全衛(wèi)士現(xiàn)已針對(duì)“QQ黏蟲”推出專項(xiàng)防護(hù)功能，只要用戶正常開啟360實(shí)時(shí)防護(hù)，即便在看網(wǎng)友照片時(shí)誤中“QQ黏蟲”，也可保護(hù)帳號(hào)不被木馬竊取。

圖：360安全衛(wèi)士獨(dú)創(chuàng)“QQ黏蟲”防護(hù)功能

附：“QQ黏蟲”木馬分析

通過“相片”、“電子相冊(cè)”等名稱的exe文件傳播，文件圖標(biāo)通常利用美女圖片進(jìn)行偽裝，如下圖所示：

QQ用戶接收并運(yùn)行上述偽裝圖片木馬后，“QQ黏蟲”會(huì)釋放出一個(gè).jpg文件并打開，讓用戶誤以為接收到的文件確實(shí)是照片;

“QQ黏蟲”按照預(yù)先設(shè)定的等待時(shí)間后，調(diào)用taskkill.exe結(jié)束QQ程序，造成QQ掉線或崩潰的現(xiàn)象;

當(dāng)用戶重新打開QQ程序時(shí)，“QQ黏蟲”監(jiān)視到QQ登錄窗口出現(xiàn)，并通過模擬窗口等方式劫持QQ登錄窗口的密碼輸入，獲取QQ用戶密碼;

“QQ黏蟲”以訪問網(wǎng)絡(luò)服務(wù)器或發(fā)送郵件等方式，將獲取的QQ帳號(hào)和密碼發(fā)送到盜號(hào)分子手中。

根據(jù)VirusTotal在線殺毒掃描結(jié)果，全球42款殺毒引擎僅有3款能夠識(shí)別一個(gè)比較新的“QQ黏蟲”木馬樣本(如下圖)。目前，360安全衛(wèi)士“識(shí)別偽造QQ登錄窗口”是全面防御此類木馬最有效的防護(hù)技術(shù)。