11月22日，是西方的感恩節(jié)，大多數(shù)中國人不過這個(gè)節(jié)日，然而木馬卻不會(huì)怎么想，它們準(zhǔn)備利用感恩節(jié)好好地做一番文章。你不過感恩節(jié)？沒關(guān)系，木馬會(huì)創(chuàng)造條件讓你過感恩節(jié)！你捂緊了自己的QQ 賬號了嗎？

上海市民趙彥軍是《 QQ 三國》桃園結(jié)義服務(wù)器的一名陰陽士玩家，前不久在游戲的光棍節(jié)活動(dòng)中兌換了不少神龍經(jīng)驗(yàn)丹。意猶未盡的他，在看到游戲 QQ 群中有人共享了感恩節(jié)活動(dòng)攻略，毫不猶豫地下載攻略文件，可文件一下載完畢，騰訊電腦管家立即報(bào)警，提示該文件正在竄改系統(tǒng)文件。

騰訊電腦管家可攔截 QQ 三國盜號木馬

接到用戶求助后，騰訊安全工程師立即檢測了該文件樣本，確定它是 QQ 三國盜號木馬，一個(gè)打著感恩節(jié)旗幟作惡的木馬。如果該木馬成功進(jìn)入用戶電腦，會(huì)釋放一個(gè)文件 1341972271.dat （文件名是隨機(jī)生成的）到用戶的臨時(shí)目錄，再通過查找注冊表項(xiàng)“ HKEY_LOCAL_MACHINE\Software\\Tencent\\qqsg ”的方式獲取《 QQ 三國》的安裝路徑，并將文件 %Temp%\1341972271.dat 復(fù)制到《 QQ 三國》的安裝目錄下，自動(dòng)生成 msimg32.dll 、 ksuser.dll 和 midimap.dll 三個(gè)用于劫持進(jìn)程的病毒文件。

木馬在 QQ 三國目錄下添加劫持文件

此后，木馬會(huì)持續(xù)監(jiān)視系統(tǒng)的進(jìn)程，一旦發(fā)現(xiàn) QQ 三國的進(jìn)程“ QQSG.exe ”，就會(huì)劃定一個(gè)查找范圍，這個(gè)范圍保護(hù)了游戲的重要數(shù)據(jù)，然后通過特征匹配的方式精確定位要查找的幾個(gè)關(guān)鍵點(diǎn)，再用 Hook 獲得游戲的服務(wù)器賬號、密碼、密保卡信息及其他參數(shù)信息，其中會(huì)以截圖的方式獲取用戶的密保卡信息，最后木馬將盜取的所有賬號信息發(fā)送到黑客指定的遠(yuǎn)方服務(wù)器中。如此一來，玩家的 QQ 賬號和密碼就被黑客盜走了！

小貼士：什么是 Hook ？

Hook ，中文譯名為鉤子，實(shí)際上是一個(gè)處理消息的程序段，通過系統(tǒng)調(diào)用，把它掛入系統(tǒng)。每當(dāng)有特定的消息發(fā)出，在沒有到達(dá)目的窗口前，鉤子程序就能先捕獲該消息，從而擁有優(yōu)先控制權(quán)。木馬利用 Hook 技術(shù)，可以截獲游戲賬號信息，也可以用來進(jìn)行自我隱藏。

盜取賬號信息并發(fā)送到黑客指定的遠(yuǎn)方服務(wù)器

騰訊安全工程師提醒廣大《 QQ 三國》玩家，注意避開木馬的感恩節(jié)陷阱。另外，參與賬號安全護(hù)航活動(dòng)，連續(xù)綁定手機(jī)令牌 /QQ 令牌并開通 QQ 三國游戲保護(hù)達(dá)到 15 天（包括 15 天），即可領(lǐng)取一個(gè)安全護(hù)航禮包和一次抽取 QB 的機(jī)會(huì)。

活動(dòng)地址： http://sg.qq.com/act/a20120521safe/index.shtml

【編輯推薦】

1. 網(wǎng)絡(luò)驚現(xiàn)“3Q大盜”木馬模仿QQ軟件登錄界面
2. 警惕“QQ大盜”覬覦您的QQ靚號