近日，卡巴斯基实验室截获到一种较为新颖的恶意程序，名为QQ盗号木马(Trojan-PSW.Win32.QQPass.aorz)。以往的QQ盗号程序通常在一个程序内实现盗号功能，但此木马作者将功能分开写在两个程序中，放在同一路径下，一个程序负责加载，另一个负责盗号。该恶意程序如下图：

加载器文件名为“资料.exe”，采用Delphi编写。会试图加载当前路径下名为“1.1”的恶意动态库程序，如果加载失败则会提示“1.1没有找到”，然后创建正常窗口。如果加载成功则会得到“1.1”动态库名为“开始”的导出函数，如果得到成功则会调用该函数，这样就进入到盗号程序的代码内。见图：

1.1不存在时创建正常窗口

1.1不存在时的提示

盗号程序采用易语言编写，会在C盘创建文件名为“汇款单.jpg”的图片并打开。查找系统是否已经行QQ程序，如果QQ程序已经启动，恶意程序则会将其关闭。这时恶意程序将会不断地查找QQ程序是否重新打开，如果找到就会创建窗口覆盖密码框，这样用户输入的密码就由恶意程序得到。并将盗取到的账号密码信息发送给远程黑客。

创建图片

恶意加载执行

目前，卡巴斯基所有产品均可以对该木马程序进行查杀。用户只需保持反病毒数据库更新即可有效拦截此木马。卡巴斯基实验室同时提醒广大网友，不要轻易下载和运行来历不明的文件，避免感染恶意程序造成损失。