主页 > 智能科技 >

“QQ粘虫”变身中秋礼品 360独家全面拦截

“QQ粘虫”变身中秋礼品 360独家全面拦截

  中秋节临近,电商网站的优惠活动铺天盖地,一些电子礼品优惠券在网上疯传,其中也暗藏“杀机”。网友@JJooru发微博表示,他从QQ群共享文件里下载的“中秋礼品优惠券”,据说“可以在京东、天猫好些网站上买月饼礼盒抵20元优惠”。下载回来打开一看,结果被360安全卫士发现是伪造QQ登录窗口盗号的木马!

  记者采访360安全中心获悉,所谓的“中秋礼品优惠券”其实是一类名为QQ粘虫的盗号木马,在QQ群共享传播的文件中,还有很多类似“中秋节放假通知”、“中秋节带薪休假详情”等压缩包均是木马伪装的。这些木马只要经过简单的免杀处理,就会绕过QQ安全检测机制上传到群共享文件中,建议网友使用360等专业安全软件,能够更全面地拦截查杀此类木马。

重庆时时彩预测软件

  360反病毒专家安扬介绍说,QQ粘虫会攻击QQ程序,造成QQ掉线的假象,再弹出伪装QQ登录窗的钓鱼窗口,骗网友输入QQ账号密码。这时无论受害者输入的密码是否正确,木马都会提示“密码错误”,要求重新输入。但实际上,受害者输入的QQ账号密码都已经被发送到黑客服务器上。

  据分析,最新的QQ粘虫木马变种会把受害者的QQ号和密码发送到“114.215.203.191”这个IP地址,而此IP归属为“北京市创联万网国际信息技术有限公司”。

  由于QQ粘虫木马更新速度极快,能轻易突破QQ安全检测机制混入QQ群共享中,木马展示钓鱼窗口的手段也不断变化,目前仅有360安全卫士“云主动防御”能够全面拦截QQ粘虫的最新变种。

  安扬提醒广大网友,切勿贪图小便宜领取来路不明的电子优惠券,同时要养成良好的上网安全意识,开启360安全卫士拦截木马病毒,以免账号被盗遭遇损失。

  附:QQ粘虫最新变种技术分析

  木马作案流程

  一、干扰QQ正常运行,比如不停最小化窗口,禁用QQ窗口等,造成QQ掉线的假象;

  二、展示伪装QQ登录的钓鱼窗口,诱骗受害者输入QQ号和密码;

  三、将受害者输入的QQ密码数据传给盗号者;

  四、恢复QQ正常运行。

  “QQ粘虫”最新变种的代码与逻辑分析:

  进程启动,隐藏自身:

  注册窗口,接收消息:

  查找

  通过内存暴搜Msg3.0.db,在其之前,就是QQ号码

  木马常用的方法,还有找OP标志位:

  找ADUIN等,方法均大同小异,通过内存特征,定位到QQ号码:

  之后查找任务栏,拿到handle备用

  查找前台窗口,寻找类名称是TXGiFondation的窗口,这也是盗号木马中,找QQ窗口的通用方法。

  检测到QQ窗口存在后,等待8秒钟,创建钓鱼使用的窗口:

  钓鱼窗口使用到的资源:

  在另一个线程中,向QQ发送最小化消息,之后显示木马窗口。

  木马作者之前使用的是WM_SHOWWINDOW和WM_HIDEWINDOW,最近改用MINIMIZE和EnableWindow的消息了。

  EnableWindow消息

  通过最小化QQ窗口,隐藏QQ窗口,禁用QQ窗口等方法影响QQ正常工作。

  客户端展示的木马钓鱼窗口

  在窗口的消息处理中,无论第一次输入什么密码,均会提示密码错误,要求再次输入密码,两次输入的密码均会发给后台:

  木马发信方式:

  木马发信中,写死了收信的IP地址,114.215.203.191 来自:北京市 创联万网国际信息技术有限公司

重庆时时彩计划微信群

  发信使用的WinSock标准的TCP连接发信的:

  完成操作之后,注入calc进行自删除

  也有部分木马,使用COM接口,调用浏览器,打开本地文件的方式发信:

  代码中可以看到,这是一个叫XH QQ大盗 Vip的木马:




关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原重庆时时彩计划微信群创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。