新年假期历来是木马病毒活跃的高峰时段,2012元旦更是爆发了一款新型的“Q币木马”。据360安全中心监测,该木马伪造“元旦五折充值Q币”的虚假QQ弹窗,诱骗中招用户在Q币充值页面上进行支付,充值对象则被木马篡改为黑客的QQ号码,如不细心观察极易上当受骗。
360安全中心发现,“Q币木马”主要捆绑在DNF、CF等热门网游外挂中。一旦游戏用户使用外挂时关闭安全软件,木马就会趁虚而入,监控中招用户的QQ运行状态,伺机弹出木马伪造的“元旦五折充值Q币”消息,普通网民难以分辨真伪。
图一:“Q币木马”弹出虚假的“Q币五折充值”消息
伪造QQ弹窗消息的木马以往并不少见,点击消息后基本全是打开假冒QQ官网的钓鱼网页。与此不同,“Q币木马”的弹窗消息指向真实的Q币充值官方网站(http://pay.qq.com/paycenter/index.shtml),只是网页中的关键区域被木马篡改,使中招用户的Q币充值对象悄然间发生转向,相当于替黑客QQ号码充值买单。
据360安全中心调查,“Q币木马”幕后黑客的QQ昵称为“我爱我家”,其所在地显示为“北京东城”。目前,360安全卫士和360杀毒均可拦截并查杀该木马。如果用户在使用外挂程序后弹出可疑的Q币优惠充值消息,应立即下载360全盘扫描查杀木马,以免个人财产被木马窃取。
图二:木马篡改后的Q币充值页面