广大考生需要注意了，“QQ黏虫”盗号木马近期活跃度剧增。360互联网安全中心发现，该木马伪装成“2013年各学院转专业细则和各专业接收人数、咨询人联系方式”等高校招生资料，诱骗考生和家长下载运行后，伪造QQ登录框套取用户的密码。在网上查询此类文件时，应开启安全软件拦截木马。

 

5 天前 上传

下载附件 (16.77 KB)

 

　　从6月下旬开始，全国多个省市的考生就可以查询高考分数并开始填报志愿了。各高校录取分数线、招生计划也自然成为最受关注的信息。盗号黑客也抓住了这一热点，将“QQ黏虫”木马伪装成高校专业招生、咨询等文件名，通过QQ群、电子邮件等渠道传播。

　　据分析，用户一旦打开恶意文件，“黏虫”木马就会偷偷在系统后台运行，监视电脑是否存在QQ窗口，同时伪造一个和QQ登录框极其相似的钓鱼界面。木马一旦发现QQ窗口，就会隐藏真正的QQ窗口，再弹出名为“重新登陆”的钓鱼窗口，用户一旦在其中输入QQ密码，就会直接把密码发送到黑客服务器上。

　　对于没有开启专业安全软件防护的用户来说，整个盗号过程几乎很难有所察觉。对此360安全专家石晓虹博士建议，如果遇到QQ需要重新登陆或异常关闭等情况，一定不要输入真实密码，而应该先全面扫描查杀木马病毒。此外，对于来源可疑的陌生文件，应使用360等专业安全软件鉴定安全后再运行。

　　附：“QQ黏虫”木马样本分析

　　木马是一个名为“2013年各学院转专业细则和各专业接收人数、咨询人联系方式.7z”的压缩包，解压缩之后有两个文件：
 

5 天前 上传

下载附件 (10.1 KB)

 

　　其中exe程序是木马的主体，Thumbs.db是一张用于套取密码的资源图片，如下图：
 

　　通过IDA+OD工具分析该样本：
 

5 天前 上传

下载附件 (17.41 KB)

 

　　木马首先会动态获取一些API，然后创建互斥体，防止其重复运行：
 

5 天前 上传

下载附件 (33.8 KB)

 

　　
　　如果检查完成，则创建一个钓鱼的窗口。同时设置一个定时器，用于监视是否存在QQ的窗口：
 

5 天前 上传

下载附件 (41.11 KB)

 

　　
　　木马最关键的部分就是在定时器的回调函数中，以下为详细分析。

　　因为木马对定时器的代码做了变形，API也采用动态获取的方式调用，所以在IDA中不方便查看，下面的分析变为OD进行动态的跟踪。

　　先取得user32.dll的句柄，然后获取一些关键的API地址：
 

　　

5 天前 上传

下载附件 (26.12 KB)

 

5 天前 上传

下载附件 (22.63 KB)

 

　　接着获取焦点窗口，获取焦点窗口的class：
 

5 天前 上传

下载附件 (28.23 KB)

 

　　

　　比较是不是QQ的窗口：
 

5 天前 上传

下载附件 (28.73 KB)

 

　　

　　如果是QQ的窗口，则获取QQ的进程ID：
 

5 天前 上传

下载附件 (12.75 KB)

 

　　

　　接下来就是比较有意思的代码了，从QQ进程中，获取当前焦点QQ的号码：
 

5 天前 上传

下载附件 (27.78 KB)

 

　　

　　木马通过比较晦涩的赋值方式构造了一个字符串参数，用于在QQ的进程中找到QQ号码：
 

5 天前 上传

下载附件 (8.64 KB)

 

　　

　　木马通过VOID GetSystemInfo(LPSYSTEM_INFO lpSystemInfo)，得到了要扫描的地址的起点和终点。然后用VirtualQueryEx判断内存的状态，然后读取，匹配刚才压入堆栈的参数：
 

5 天前 上传

下载附件 (19.93 KB)

 

　　
　　用Cheat Engine查找了下QQ的内存，然后发现了如下的字符串，木马压入的那个字符串的前面，就是QQ号码：
 

5 天前 上传

下载附件 (33.8 KB)

 

　　
　　木马拿到QQ号码之后，给桌面发送ctrl+d（显示桌面）：
 

5 天前 上传

下载附件 (28.86 KB)

 

　　接着设置QQ号码到EDIT，设置钓鱼窗口为焦点窗口。然后显示钓鱼窗口：
 

5 天前 上传

下载附件 (36.07 KB)

 

　　如果用户在钓鱼框中输入的密码，木马会发送帐号和密码到黑客服务器：
 

　　

5 天前 上传

下载附件 (33.86 KB)

 

5 天前 上传

下载附件 (10.97 KB)

 

5 天前 上传

下载附件 (8.15 KB)

 

　　　　
　　早在2011年“QQ黏虫”木马刚刚兴起时，360安全卫士增加了识别QQ登录窗口异常的主动防御规则，可以有效拦截此类木马。
 

　　

5 天前 上传

下载附件 (103.96 KB)