国家计算机病毒应急处理中心通过对互联网的监测发现,QQ盗号木马出现新变种,其主要利用模拟登录窗口的方式盗取计算机用户的账号和密码。
木马运行后,会遍历进程管理器,查找并关闭QQ.EXE进程,强迫用户再次启动QQ。接着设置WH_MSGFILTER和WH_CBT钩子,监视鼠标和键盘的消息事件,并创建一个隐藏的类名为WTWindow的窗口用来接受账号和密码,其子窗口被关联作为QQ登录框的账号和密码输入框的子窗口。
当计算机用户输入账号和密码后,实际上是将账号和密码字符串输入到木马创建的窗口,钩子函数监控鼠标和键盘的输入之后,将账号和密码发送到收信网址。
针对已经感染该恶意木马程序的计算机用户,专家建议立即升级系统中的防病毒软件,进行全面杀毒。对未感染的用户建议打开系统中防病毒软件的“系统监控”功能,从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御。 (张建新)