由于腾讯QQ在国内有极高的使用率,针对QQ的进行盗号,诈骗,恶意推广的恶意软件也是层出不穷。对盗号木马,群空间广告病毒大家可能已经比较熟悉,也有一定的防范,但对群共享大家往往没有什么戒心。现在病毒集体又把魔爪伸向了群空间,利用中招者的QQ群传播病毒。
AVG中国病毒实验室最近截获一系列样本,下面是其中一个名为“今日稳定更新版”的群共享文件。
文件大小在30M左右。点击运行后显示正在更新,
但后台是不是在更新我们无从知晓。AVG分析发现该病毒其实藏匿在访问QQ的群首页,由于QQ有快速登录检测功能,所以进入的就是下次自动登录界面。
病毒通过在网页中搜索控件的方法来点选自动登录复选框,并点击快速登录按钮,以此盗取当前在线的QQ的登录状态。
在这之后,病毒还会访问百度空间,读取空间中隐藏的代码来作为共享名以及文件信息,用于实现病毒的动态配置。
获取当前登录用户的登录状态后和文件名配置,病毒会提交http请求提交群共享文件,并将其自身再次传播到用户所在的群中。
随后,病毒释放其自身中的一个exe文件到C:\app.exe,并运行文件。
这个exe是一个流氓推广安装包,会在没有交互的情况下安装大量软件。
此QQ群蠕虫经常变换各种名字,其中包括“李宗瑞照片全集”等负有诱惑性的名字,吸引其他群友下载运行。
此蠕虫已被AVG检测为Worm/Generic2.CGRS. 。它的危害在于,文件在群中,不仅一人中了病毒还会危害群友。近来打出诱人标题来坑害网友的恶意程序非常多,AVG提醒广大网友,切勿贪色误事, 注意QQ群共享的文件,谨慎运行陌生程序、谨慎打开群链接。 AVG2013可以更加全面的保护您的电脑,安装AVG并更新到最新版本,就可以轻松检测该类恶意程序,确保您安全无忧的使用您的电脑。