“QQ黏蟲(chóng)”狂盜QQ密碼 360獨(dú)創(chuàng)“除蟲(chóng)”技術(shù)

“打開(kāi)網(wǎng)友照片后QQ忽然掉線，重新登錄沒(méi)過(guò)多久，QQ就被盜號(hào)了”。近期，一類(lèi)名為“QQ黏蟲(chóng)”的木馬讓不少網(wǎng)民深受其害。據(jù)360安全中心分析，該木馬利用偽裝圖片傳播，運(yùn)行后以透明窗體覆蓋QQ登錄窗，“黏”走受害用戶(hù)的QQ密碼。為此，360安全衛(wèi)士創(chuàng)新推出可識(shí)別QQ登錄窗口異常的防護(hù)技術(shù)，能夠全面攔截根除“QQ黏蟲(chóng)”。360也因此成為國(guó)內(nèi)目前全面防御此類(lèi)木馬最有效的安全軟件。

360安全中心統(tǒng)計(jì)發(fā)現(xiàn)，目前超過(guò)半數(shù)QQ盜號(hào)木馬均為“QQ黏蟲(chóng)”及其變種。這類(lèi)木馬盜號(hào)分為三步：第一，盜號(hào)分子以發(fā)照片或電子相冊(cè)的名義把木馬發(fā)給QQ好友;第二，“QQ黏蟲(chóng)”運(yùn)行后強(qiáng)制終止QQ程序，迫使用戶(hù)重新登錄;最后，木馬創(chuàng)建透明窗覆蓋在QQ登錄窗口上，收集受害用戶(hù)輸入的密碼信息，自動(dòng)發(fā)送到盜號(hào)分子指定的遠(yuǎn)程服務(wù)器上。

據(jù)360安全專(zhuān)家石曉虹博士介紹，以往木馬大多利用注入QQ或截取鍵盤(pán)記錄盜號(hào)，“QQ黏蟲(chóng)”的盜號(hào)方式則改為模擬窗口，讓受害用戶(hù)自己“交出”QQ密碼，因此能夠繞過(guò)QQ“安全防護(hù)版”的防注入機(jī)制。再加上此類(lèi)木馬行為隱蔽、免殺速度快，常規(guī)殺毒軟件也很難利用行為啟發(fā)或動(dòng)態(tài)啟發(fā)進(jìn)行預(yù)防。

“全面攔截‘QQ黏蟲(chóng)’的方法只有對(duì)癥下藥，在其模擬QQ登錄窗口時(shí)報(bào)警攔截。這樣無(wú)論‘QQ黏蟲(chóng)’如何免殺變形，都無(wú)法再竊取QQ密碼。”石曉虹博士表示，360安全衛(wèi)士現(xiàn)已針對(duì)“QQ黏蟲(chóng)”推出專(zhuān)項(xiàng)防護(hù)功能，只要用戶(hù)正常開(kāi)啟360實(shí)時(shí)防護(hù)，即便在看網(wǎng)友照片時(shí)誤中“QQ黏蟲(chóng)”，也可保護(hù)帳號(hào)不被木馬竊取。

圖：360安全衛(wèi)士獨(dú)創(chuàng)“QQ黏蟲(chóng)”防護(hù)功能

附：“QQ黏蟲(chóng)”木馬分析

通過(guò)“相片”、“電子相冊(cè)”等名稱(chēng)的exe文件傳播，文件圖標(biāo)通常利用美女圖片進(jìn)行偽裝，如下圖所示：

QQ用戶(hù)接收并運(yùn)行上述偽裝圖片木馬后，“QQ黏蟲(chóng)”會(huì)釋放出一個(gè).jpg文件并打開(kāi)，讓用戶(hù)誤以為接收到的文件確實(shí)是照片;

“QQ黏蟲(chóng)”按照預(yù)先設(shè)定的等待時(shí)間后，調(diào)用taskkill.exe結(jié)束QQ程序，造成QQ掉線或崩潰的現(xiàn)象;

當(dāng)用戶(hù)重新打開(kāi)QQ程序時(shí)，“QQ黏蟲(chóng)”監(jiān)視到QQ登錄窗口出現(xiàn)，并通過(guò)模擬窗口等方式劫持QQ登錄窗口的密碼輸入，獲取QQ用戶(hù)密碼;

“QQ黏蟲(chóng)”以訪問(wèn)網(wǎng)絡(luò)服務(wù)器或發(fā)送郵件等方式，將獲取的QQ帳號(hào)和密碼發(fā)送到盜號(hào)分子手中。

根據(jù)VirusTotal在線殺毒掃描結(jié)果，全球42款殺毒引擎僅有3款能夠識(shí)別一個(gè)比較新的“QQ黏蟲(chóng)”木馬樣本(如下圖)。目前，360安全衛(wèi)士“識(shí)別偽造QQ登錄窗口”是全面防御此類(lèi)木馬最有效的防護(hù)技術(shù)。