11月22日，是西方的感恩節(jié)，大多數(shù)中國人不過這個節(jié)日，然而木馬卻不會怎么想，它們準備利用感恩節(jié)好好地做一番文章。你不過感恩節(jié)？沒關(guān)系，木馬會創(chuàng)造條件讓你過感恩節(jié)！你捂緊了自己的QQ 賬號了嗎？

上海市民趙彥軍是《 QQ 三國》桃園結(jié)義服務器的一名陰陽士玩家，前不久在游戲的光棍節(jié)活動中兌換了不少神龍經(jīng)驗丹。意猶未盡的他，在看到游戲 QQ 群中有人共享了感恩節(jié)活動攻略，毫不猶豫地下載攻略文件，可文件一下載完畢，騰訊電腦管家立即報警，提示該文件正在竄改系統(tǒng)文件。

騰訊電腦管家可攔截 QQ 三國盜號木馬

接到用戶求助后，騰訊安全工程師立即檢測了該文件樣本，確定它是 QQ 三國盜號木馬，一個打著感恩節(jié)旗幟作惡的木馬。如果該木馬成功進入用戶電腦，會釋放一個文件 1341972271.dat （文件名是隨機生成的）到用戶的臨時目錄，再通過查找注冊表項“ HKEY_LOCAL_MACHINE\Software\\Tencent\\qqsg ”的方式獲取《 QQ 三國》的安裝路徑，并將文件 %Temp%\1341972271.dat 復制到《 QQ 三國》的安裝目錄下，自動生成 msimg32.dll 、 ksuser.dll 和 midimap.dll 三個用于劫持進程的病毒文件。

木馬在 QQ 三國目錄下添加劫持文件

此后，木馬會持續(xù)監(jiān)視系統(tǒng)的進程，一旦發(fā)現(xiàn) QQ 三國的進程“ QQSG.exe ”，就會劃定一個查找范圍，這個范圍保護了游戲的重要數(shù)據(jù)，然后通過特征匹配的方式精確定位要查找的幾個關(guān)鍵點，再用 Hook 獲得游戲的服務器賬號、密碼、密?？ㄐ畔⒓捌渌麉?shù)信息，其中會以截圖的方式獲取用戶的密?？ㄐ畔?，最后木馬將盜取的所有賬號信息發(fā)送到黑客指定的遠方服務器中。如此一來，玩家的 QQ 賬號和密碼就被黑客盜走了！

小貼士：什么是 Hook ？

Hook ，中文譯名為鉤子，實際上是一個處理消息的程序段，通過系統(tǒng)調(diào)用，把它掛入系統(tǒng)。每當有特定的消息發(fā)出，在沒有到達目的窗口前，鉤子程序就能先捕獲該消息，從而擁有優(yōu)先控制權(quán)。木馬利用 Hook 技術(shù)，可以截獲游戲賬號信息，也可以用來進行自我隱藏。

盜取賬號信息并發(fā)送到黑客指定的遠方服務器

騰訊安全工程師提醒廣大《 QQ 三國》玩家，注意避開木馬的感恩節(jié)陷阱。另外，參與賬號安全護航活動，連續(xù)綁定手機令牌 /QQ 令牌并開通 QQ 三國游戲保護達到 15 天（包括 15 天），即可領(lǐng)取一個安全護航禮包和一次抽取 QB 的機會。

活動地址： http://sg.qq.com/act/a20120521safe/index.shtml

【編輯推薦】

1. 網(wǎng)絡驚現(xiàn)“3Q大盜”木馬模仿QQ軟件登錄界面
2. 警惕“QQ大盜”覬覦您的QQ靚號