“QQ粘蟲”變身中秋禮品 360獨家全面攔截

中秋節(jié)臨近，電商網(wǎng)站的優(yōu)惠活動鋪天蓋地，一些電子禮品優(yōu)惠券在網(wǎng)上瘋傳，其中也暗藏“殺機”。網(wǎng)友@JJooru發(fā)微博表示，他從QQ群共享文件里下載的“中秋禮品優(yōu)惠券”，據(jù)說“可以在京東、天貓好些網(wǎng)站上買月餅禮盒抵20元優(yōu)惠”。下載回來打開一看，結(jié)果被360安全衛(wèi)士發(fā)現(xiàn)是偽造QQ登錄窗口盜號的木馬!

記者采訪360安全中心獲悉，所謂的“中秋禮品優(yōu)惠券”其實是一類名為QQ粘蟲的盜號木馬，在QQ群共享傳播的文件中，還有很多類似“中秋節(jié)放假通知”、“中秋節(jié)帶薪休假詳情”等壓縮包均是木馬偽裝的。這些木馬只要經(jīng)過簡單的免殺處理，就會繞過QQ安全檢測機制上傳到群共享文件中，建議網(wǎng)友使用360等專業(yè)安全軟件，能夠更全面地攔截查殺此類木馬。

360反病毒專家安揚介紹說，QQ粘蟲會攻擊QQ程序，造成QQ掉線的假象，再彈出偽裝QQ登錄窗的釣魚窗口，騙網(wǎng)友輸入QQ賬號密碼。這時無論受害者輸入的密碼是否正確，木馬都會提示“密碼錯誤”，要求重新輸入。但實際上，受害者輸入的QQ賬號密碼都已經(jīng)被發(fā)送到黑客服務(wù)器上。

據(jù)分析，最新的QQ粘蟲木馬變種會把受害者的QQ號和密碼發(fā)送到“114.215.203.191”這個IP地址，而此IP歸屬為“北京市創(chuàng)聯(lián)萬網(wǎng)國際信息技術(shù)有限公司”。

由于QQ粘蟲木馬更新速度極快，能輕易突破QQ安全檢測機制混入QQ群共享中，木馬展示釣魚窗口的手段也不斷變化，目前僅有360安全衛(wèi)士“云主動防御”能夠全面攔截QQ粘蟲的最新變種。

安揚提醒廣大網(wǎng)友，切勿貪圖小便宜領(lǐng)取來路不明的電子優(yōu)惠券，同時要養(yǎng)成良好的上網(wǎng)安全意識，開啟360安全衛(wèi)士攔截木馬病毒，以免賬號被盜遭遇損失。

附：QQ粘蟲最新變種技術(shù)分析

木馬作案流程

一、干擾QQ正常運行，比如不停最小化窗口，禁用QQ窗口等，造成QQ掉線的假象;

二、展示偽裝QQ登錄的釣魚窗口，誘騙受害者輸入QQ號和密碼;

三、將受害者輸入的QQ密碼數(shù)據(jù)傳給盜號者;

四、恢復(fù)QQ正常運行。

“QQ粘蟲”最新變種的代碼與邏輯分析：

進程啟動，隱藏自身：

注冊窗口，接收消息：

查找

通過內(nèi)存暴搜Msg3.0.db，在其之前，就是QQ號碼

木馬常用的方法，還有找OP標(biāo)志位：

找ADUIN等，方法均大同小異，通過內(nèi)存特征，定位到QQ號碼：

之后查找任務(wù)欄，拿到handle備用

查找前臺窗口，尋找類名稱是TXGiFondation的窗口，這也是盜號木馬中，找QQ窗口的通用方法。

檢測到QQ窗口存在后，等待8秒鐘，創(chuàng)建釣魚使用的窗口：

釣魚窗口使用到的資源：

在另一個線程中，向QQ發(fā)送最小化消息，之后顯示木馬窗口。

木馬作者之前使用的是WM_SHOWWINDOW和WM_HIDEWINDOW，最近改用MINIMIZE和EnableWindow的消息了。

EnableWindow消息

通過最小化QQ窗口，隱藏QQ窗口，禁用QQ窗口等方法影響QQ正常工作。

客戶端展示的木馬釣魚窗口

在窗口的消息處理中，無論第一次輸入什么密碼，均會提示密碼錯誤，要求再次輸入密碼，兩次輸入的密碼均會發(fā)給后臺：

木馬發(fā)信方式：

木馬發(fā)信中，寫死了收信的IP地址，114.215.203.191 來自：北京市 創(chuàng)聯(lián)萬網(wǎng)國際信息技術(shù)有限公司

發(fā)信使用的WinSock標(biāo)準(zhǔn)的TCP連接發(fā)信的：

完成操作之后，注入calc進行自刪除

也有部分木馬，使用COM接口，調(diào)用瀏覽器，打開本地文件的方式發(fā)信：

代碼中可以看到，這是一個叫XH QQ大盜 Vip的木馬：