近日,卡巴斯基实验室截获到一种较为新颖的恶意程序,名为QQ盗号木马(Trojan-PSW.Win32.QQPass.aorz)。以往的QQ盗号程序通常在一个程序内实现盗号功能,但此木马作者将功能分开写在两个程序中,放在同一路径下,一个程序负责加载,另一个负责盗号。该恶意程序如下图:
加载器文件名为“资料.exe”,采用Delphi编写。会试图加载当前路径下名为“1.1”的恶意动态库程序,如果加载失败则会提示“1.1没有找到”,然后创建正常窗口。如果加载成功则会得到“1.1”动态库名为“开始”的导出函数,如果得到成功则会调用该函数,这样就进入到盗号程序的代码内。见图:
1.1不存在时创建正常窗口
1.1不存在时的提示
盗号程序采用易语言编写,会在C盘创建文件名为“汇款单.jpg”的图片并打开。查找系统是否已经行QQ程序,如果QQ程序已经启动,恶意程序则会将其关闭。这时恶意程序将会不断地查找QQ程序是否重新打开,如果找到就会创建窗口覆盖密码框,这样用户输入的密码就由恶意程序得到。并将盗取到的账号密码信息发送给远程黑客。
创建图片
恶意加载执行
目前,卡巴斯基所有产品均可以对该木马程序进行查杀。用户只需保持反病毒数据库更新即可有效拦截此木马。卡巴斯基实验室同时提醒广大网友,不要轻易下载和运行来历不明的文件,避免感染恶意程序造成损失。
本文来源:华军资讯 作者:佚名