盗号木马技术升级：“QQ黏虫”发动隐形攻击

　　QQ盗号木马的流行已不下十年时间，尽管腾讯公司不断弥补QQ的安全防护弱点，但新的木马品种也随之涌现。以最新盗号毒王“QQ黏虫”为例，QQ2011“安全防护版”还没有正式发布，就被“QQ黏虫”的隐形攻击技术绕过，成为形同摆设的马奇诺防线。

　　盘点QQ盗号木马的技术演变过程，大致可分为以下四类：

　　一、记录键盘输入

　　这类木马的攻击要点在于监听键盘，把中招用户输入的文本信息直接记录下来，再以邮件发信或提交数据到黑客的服务器上。

　　在监听键盘型盗号木马出现多年之后，QQ2008版终于加入了键盘过滤驱动，阻止其它程序监听键盘输入，不过这项防护机制很快遭到木马的猛烈反扑——相信一些网民还记得，QQ登录窗右端的红叉警示，这就是其键盘过滤驱动被木马破坏的现象。

　　二、注入QQ截取密码信息

　　注入QQ是一个比较笼统的说法，其实现方式也有很多种，例如释放一个lpk.dll木马文件到QQ目录，QQ运行时就会自动加载木马，从而被木马获取QQ登录信息所在的内存地址，导致QQ帐号和密码失窃。

　　针对恶意程序注入QQ的行为，QQ2011“安全防护版”进行了过滤阻止，但还是没能真正抵挡木马盗号的步伐。因为现在流行度最高的QQ盗号木马，根本无需再注入QQ。

　　三、创建虚假的QQ登录窗口

　　这类木马其实也有着多年历史，随着QQ版本升级和界面变化，它们也在不断改变伪装。其盗号手段是：首先终止QQ进程，一般会弹出虚假的“QQ出错提示”;用户点击后，木马创建的“QQ登录窗口”就会出现在电脑桌面上，诱骗用户在其中输入帐号和密码。

　　直到现在，QQ对于此类木马还欠缺防御措施，只能依赖第三方安全软件对系统进行更全面的保护。如今新一代毒王“QQ黏虫”日益泛滥，QQ面临的盗号威胁无疑将进一步加剧。

　　四、“QQ黏虫”的隐形攻击

　　“QQ黏虫”的目标同样在于QQ登录窗，不过它并没有创建一个虚假的QQ登录界面，而是用透明窗体覆盖在真实的QQ登录窗上，以隐形攻击劫持QQ密码。它的行为比创建虚假的QQ登录窗口更简单，但从防护角度来说，越是简单的程序行为就越难以防御——对于安全软件，通常需要根据程序的多步行为才能判断是否拦截，如果仅拦截一个简单的动作，极易造成大量误报。

　　根据技术网站测试，尽管“QQ黏虫”木马样本已公开多日，腾讯力推的“QQ电脑管家+金山毒霸”仍束手无策，反而是360安全卫士抢先推出了“除虫”功能，帮助QQ用户预防盗号，这更反衬出腾讯自身在安全防护方面的响应迟缓。按业内说法，“腾讯的防护技术还停留在安全软件的初级水平，远远滞后于木马变化。和木马对抗，腾讯还需要快一些、再快一些。”