“QQ粘虫”变身中秋礼品 360独家全面拦截

平乾花

中秋节临近，电商网站的优惠活动铺天盖地，一些电子礼品优惠券在网上疯传，其中也暗藏杀机。网友@JJooru发微博表示，他从QQ群共享文件里下载的中秋礼品优惠券，据说可以在京东、天猫好些网站上买月饼礼盒抵20元优惠。下载回来打开一看，结果被360安全卫士发现是伪造QQ登录窗口盗号的木马!

    记者采访360安全中心获悉，所谓的中秋礼品优惠券其实是一类名为QQ粘虫的盗号木马，在QQ群共享传播的文件中，还有很多类似中秋节放假通知、中秋节带薪休假详情等压缩包均是木马伪装的。这些木马只要经过简单的免杀处理，就会绕过QQ安全检测机制上传到群共享文件中，建议网友使用360等专业安全软件，能够更全面地拦截查杀此类木马。

    360反病毒专家安扬介绍说，QQ粘虫会攻击QQ程序，造成QQ掉线的假象，再弹出伪装QQ登录窗的钓鱼窗口，骗网友输入QQ账号密码。这时无论受害者输入的密码是否正确，木马都会提示密码错误，要求重新输入。但实际上，受害者输入的QQ账号密码都已经被发送到黑客服务器上。

    据分析，最新的QQ粘虫木马变种会把受害者的QQ号和密码发送到114.215.203.191这个IP地址，而此IP归属为北京市创联万网国际信息技术有限公司。

    由于QQ粘虫木马更新速度极快，能轻易突破QQ安全检测机制混入QQ群共享中，木马展示钓鱼窗口的手段也不断变化，目前仅有360安全卫士云主动防御能够全面拦截QQ粘虫的最新变种。

    安扬提醒广大网友，切勿贪图小便宜领取来路不明的电子优惠券，同时要养成良好的上网安全意识，开启360安全卫士拦截木马病毒，以免账号被盗遭遇损失。

    附：QQ粘虫最新变种技术分析

    木马作案流程

    一、干扰QQ正常运行，比如不停最小化窗口，禁用QQ窗口等，造成QQ掉线的假象;

    二、展示伪装QQ登录的钓鱼窗口，诱骗受害者输入QQ号和密码;

    三、将受害者输入的QQ密码数据传给盗号者;

    四、恢复QQ正常运行。

    QQ粘虫最新变种的代码与逻辑分析：

    进程启动，隐藏自身：

    注册窗口，接收消息：

    查找

    通过内存暴搜Msg3.0.db，在其之前，就是QQ号码

    木马常用的方法，还有找OP标志位：

    找ADUIN等，方法均大同小异，通过内存特征，定位到QQ号码：

    之后查找任务栏，拿到handle备用

    查找前台窗口，寻找类名称是TXGiFondation的窗口，这也是盗号木马中，找QQ窗口的通用方法。

    检测到QQ窗口存在后，等待8秒钟，创建钓鱼使用的窗口：

    钓鱼窗口使用到的资源：

    在另一个线程中，向QQ发送最小化消息，之后显示木马窗口。

    木马作者之前使用的是WM_SHOWWINDOW和WM_HIDEWINDOW，最近改用MINIMIZE和EnableWindow的消息了。

    EnableWindow消息

    通过最小化QQ窗口，隐藏QQ窗口，禁用QQ窗口等方法影响QQ正常工作。

    客户端展示的木马钓鱼窗口

    在窗口的消息处理中，无论第一次输入什么密码，均会提示密码错误，要求再次输入密码，两次输入的密码均会发给后台：

    木马发信方式：

    木马发信中，写死了收信的IP地址，114.215.203.191 来自：北京市 创联万网国际信息技术有限公司

    发信使用的WinSock标准的TCP连接发信的：

   



    完成操作之后，注入calc进行自删除

    也有部分木马，使用COM接口，调用浏览器，打开本地文件的方式发信：

    代码中可以看到，这是一个叫XH QQ大盗 Vip的木马：