“QQ黏蟲”變種來襲偷拍桌面?zhèn)窝b盜號

如果你收到一封“我有個朋友說認(rèn)識你，這是他的照片，你打開看下”的郵件，注意切勿打開郵件附件，因?yàn)檫@是最新的“QQ黏蟲”木馬變種。根據(jù)360安全中心分析，該木馬可以偽裝QQ登錄框，在用戶輸入帳號密碼竊取數(shù)據(jù)。最近一周，360安全衛(wèi)士已攔截該“QQ黏蟲”變種超過4萬次。

圖：360安全衛(wèi)士攔截“QQ黏蟲”木馬變種

“QQ黏蟲”是2011年十大高危木馬之一，其最新變種的盜號手段更為隱蔽：一旦有網(wǎng)民中招，木馬會暴力關(guān)閉QQ進(jìn)程，再伺機(jī)“偷拍”電腦桌面，把真正的QQ登錄框隱藏后，代替以其截圖仿真的木馬登錄框，誘騙用戶填寫帳號密碼。

“如果遇到QQ異常關(guān)閉，大多數(shù)情況都是木馬作怪。”360安全專家石曉虹博士表示，不法分子盜號后，除了竊取帳號關(guān)聯(lián)的虛擬財產(chǎn)，還有可能假冒身份向丟號者的親友借錢，從而對網(wǎng)民造成更嚴(yán)重的經(jīng)濟(jì)損失。

針對“QQ黏蟲”盜號手段，360安全衛(wèi)士和360殺毒均已升級防護(hù)，能夠主動防御木馬偽裝QQ登錄框，全面封殺“QQ黏蟲”系列變種。石曉虹博士建議廣大QQ用戶，如果遇到陌生人發(fā)來照片的情況，應(yīng)先查毒再打開，以免重要帳號被木馬竊取。

附：“QQ黏蟲”木馬變種分析

傳播渠道

通過電子郵件傳播，盜號者發(fā)送一封“我有個朋友說認(rèn)識你，這是他的照片，你打開看下”的郵件，郵件附件即為木馬。

木馬工作流程

木馬原始文件名：像片.EXE，文件大?。?47KB (662,528字節(jié))

木馬工作流程如下：

木馬運(yùn)行現(xiàn)象

一、“QQ黏蟲”木馬變種加了ASP的殼，運(yùn)行之后，首先彈出一個虛假的文件出錯提示麻痹用戶，其實(shí)木馬已經(jīng)偷偷運(yùn)行：

二、木馬運(yùn)行后結(jié)束QQ進(jìn)程：

三、之后不停查找QQ窗口，等待QQ運(yùn)行：

四、找到QQ窗口后對其截圖，并把真正的QQ登錄框隱藏到用戶不可見的位置，(3000，3000，即屏幕可見范圍之外)：

五、彈出木馬偽裝的QQ登錄窗口：

六、取得QQ號和密碼后通過ASP提交到服務(wù)器，該木馬同時具有通過郵件發(fā)送QQ號碼和密碼的能力，以下為郵件發(fā)信代碼：

預(yù)防和查殺

木馬試圖移動QQ窗口時，360安全衛(wèi)士會彈出警告，予以攔截：

360云安全引擎可全面識別并查殺此類黏蟲木馬：