同學會邀請函慎點：裡面可能有木馬附件

近期，360互聯網安全中心監測到一批通過群郵件進行較大範圍傳播的盜號木馬程序。木馬會偽裝成所謂的「聚會邀請函」，藉由群郵件的形式批量發送。而一旦有網友輕信了所謂的「邀請函」，在機器上運行，那自己的QQ號就可能處於險境了。

下圖為一位中招網友向360安全中心反饋的群郵件，他收到的是這樣一封名為「聚會邀請函」的群郵件，且郵件中攜帶木馬附件，如果電腦沒有開啟360安全衛士防護，打開附件就會中招。

圖1 郵件傳播

下載運行木馬附件時，木馬會提示用戶QQ登錄超時，需要重新登錄：

圖2 虛假登錄超時彈窗

點擊確定後，木馬會進一步偽造出一個所謂的「重新登錄」彈窗，甚至會獲取當前登陸的QQ賬號並貼心地幫受害者填好，受害者自己只需要輸入密碼即可：

圖3 虛假登陸窗口

當用戶點擊登錄後，其帳號與密碼一起被寫入攻擊者所搭建的MySQL伺服器中。

圖4 受害者QQ信息被回傳

根據木馬連接資料庫所使用的賬號和密碼，360反病毒工程師也成功登錄到攻擊者的後台，發現木馬盜取的大量QQ信息。截止到發稿時，受害者數量已接近4000名。

圖5 攻擊者竊取的用戶QQ數據

圖6 受害者地域分布情況

通過對後台資料庫中地區欄位的整理和統計，發現貴州、廣東、雲南地區的感染用戶佔比較大。

?總結

通過數據觀測，此類樣本會將竊取到的QQ帳號與密碼信息用作二次傳播的載體數據，也就是說，一旦有受害者中招，這名受害者的賬號很快也會成為黑客進一步擴散木馬的幫凶。

360安全衛士無需更新就可攔截查殺該類木馬，在此，也建議網民，不隨意打開陌生郵件附件，安裝專業的安全防護軟體，保護計算機安全。

圖7 攔截提示

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！