盗号木马假冒银行卡图标 360全面拦截

近日，360互联网安全中心拦截到一类伪装为银行卡图标的盗号木马，该木马主要通过QQ在陌生人之间传播。木马运行后，会打开一个QQ快速登录的界面，一旦中招者点击登录，包括QQ账号、密钥以及昵称在内的隐私信息就会被发送到骗子的服务器中，骗子可完全控制包括空间、邮箱等在内的所有QQ服务。

由于银行卡的图标具有迷惑性，不少网民因此误点而遭遇盗号。目前，360安全卫士在木马运行前就可以精准识别并进行拦截。广大网民除了安装专业的杀毒软件之外，还要注意慎点陌生人发来的可疑文件，切勿因为好奇中了骗子的圈套。

　　以下为针对该木马的技术分析：

一.简介

近日，360QVM团队收到用户反馈：QQ上收到陌生人发来的木马文件。经过我们的分析发现这是一个用c#编写的，利用QQ快速登录盗取QQ账号信息的木马。木马图标为银行卡图片，用户稍有不慎点击该木马后就会有QQ账号被盗的风险。

　　二.样本细节

1.获取账号信息

木马启动后会将自身窗口最小化，以此来避免引起用户的注意。

　　然后木马会打开一个QQ快速登录的网页。

　　紧接着木马执行了一段JS代码，来获取QQ账号，昵称，快速登录对应的key。

　　下图的3个部分分别为获取到的QQ账号，QQ昵称，快速登录所需要的key。

一旦黑客获取到以上信息，黑客就可以利用如下方式登录腾讯首页，进一步使用该QQ的所有服务。

http://ptlogin2.qq.com/jump?clientuin=QQ账号&clientkey=快速登录需要的key

进入腾讯首页

　　快速登录QQ空间

　　快速登录QQ邮箱

　　2.上传账号信息

木马将获取到的信息保存到LoginedInfo这个类中。

获取完所有的账号信息后，木马就会向控制端上传数据。控制端地址为tempuri.org。

　　通过观察发现QQAPI_B这个类还有很多没有用到的方法。

GetData方法

　　GetLoginInfo方法

昨天中午中木马，下午一个退款套走了支付密码，第二天稍微走开一下控制了我的电脑转走好几千，发现马上拉网线。360卫士杀毒软件都开着啊，哎

昨天我的QQ被盗了也知不知道是不是这个病毒干的

雁过留声www.jingyu100.com.cn/chengdu/