关注恶意软件：

• 名称：QQ盗号木马（Trojan-PSW.Win32.QQPass.aorz）
• 大小：354 KB，452 KB
• 是否加壳：是
• 加壳方式：ASPack

   

创建文件：

C:\汇款单.jpg

修改注册表：

无

行为描述：

　　以往的QQ盗号程序通常在一个程序内实现盗号功能，但此木马作者将盗号功能分开写在两个程序中，放在同一路径下，一个程序负责加载，另一个负责盗号。加载器文件名为“资料.exe”，采用Delphi编写。会试图加载当前路径下名为“1.1”的恶意动态库程序，如果加载失败则会提示“1.1没有找到”，然后创建正常窗口。如果加载成功则会得到“1.1”动态库名为“开始”的导出函数，如果得到成功则会调用该函数，这样就进入到盗号程序的代码内。

　　盗号程序采用易语言编写，会在C盘创建文件名为“汇款单.jpg”的图片并打开。查找系统是否已经行QQ程序，如果QQ程序已经启动，恶意程序则会将其关闭。这时恶意程序将会不断地查找QQ程序是否重新打开，如果找到就会创建窗口覆盖密码框，这样用户输入的密码就由恶意程序得到。最后将用户的账户信息发送至http://heimawangluo.3322.org/1109/9dnwdiuhd/qq.asp。

　　目前，卡巴斯基所有产品均可以对该木马进行查杀。

专家预防建议:

• 建立良好的安全习惯，不打开可疑邮件和可疑网站。
• 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
• 使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。
• 现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。 
• 安装专业的防毒软件升级到最新版本，并开启实时监控功能。
• 为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。  
• 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。