盗号木马假冒银行卡图标 360全面拦截

 　　近日，360互联网安全中心拦截到一类伪装为银行卡图标的盗号木马，该木马主要通过QQ在陌生人之间传播。木马运行后，会打开一个QQ快速登录的界面，一旦中招者点击登录，包括QQ账号、密钥以及昵称在内的隐私信息就会被发送到骗子的服务器中，骗子可完全控制包括空间、邮箱等在内的所有QQ服务。

　　由于银行卡的图标具有迷惑性，不少网民因此误点而遭遇盗号。目前，360安全卫士在木马运行前就可以精准识别并进行拦截。广大网民除了安装专业的杀毒软件之外，还要注意慎点陌生人发来的可疑文件，切勿因为好奇中了骗子的圈套。

　　以下为针对该木马的技术分析：

　　一.简介

　　近日，360QVM团队收到用户反馈：QQ上收到陌生人发来的木马文件。经过我们的分析发现这是一个用c#编写的，利用QQ快速登录盗取QQ账号信息的木马。木马图标为银行卡图片，用户稍有不慎点击该木马后就会有QQ账号被盗的风险。

　　二.样本细节

　　1.获取账号信息

　　木马启动后会将自身窗口最小化，以此来避免引起用户的注意。

　　然后木马会打开一个QQ快速登录的网页。

　　紧接着木马执行了一段JS代码，来获取QQ账号，昵称，快速登录对应的key。

　　下图的3个部分分别为获取到的QQ账号，QQ昵称，快速登录所需要的key。

　　一旦黑客获取到以上信息，黑客就可以利用如下方式登录腾讯首页，进一步使用该QQ的所有服务。

　　http://ptlogin2.qq.com/jump?clientuin=QQ账号&clientkey=快速登录需要的key

　　进入腾讯首页

　　快速登录QQ空间

　　快速登录QQ邮箱

　　2.上传账号信息

　　木马将获取到的信息保存到LoginedInfo这个类中。

　　获取完所有的账号信息后，木马就会向控制端上传数据。控制端地址为tempuri.org。

　　通过观察发现QQAPI_B这个类还有很多没有用到的方法。

　　GetData方法

　　GetLoginInfo方法