9月5日,金山安全中心截获国内首个QQ群蠕虫病毒(Win32.Troj.Pincav),该病毒伪装成电视棒破解程序欺骗网民下载,盗取魔兽、邮箱及社交网络账号,中毒后病毒会自动访问QQ群共享空间进行传播。目前该病毒感染量每天约2万个,这是利用QQ群共享空间传播的蠕虫病毒首次被证实。目前金山毒霸猎豹+QQ电脑管家极速安全套装已实现完美查杀。
金山毒霸工程师指出,该病毒主要目的是盗取魔兽世界、常见电子邮箱和社交网络的帐户密码,以“成人电视棒升级破解版”为名诱骗网民下载运行,并在成功感染后利用QQ群共享以及一些文件共享站点进行传播。
图1 伪装后的病毒程序图标
当网民下载运行所谓的“成人电视棒升级破解版”之后,病毒程序会在各磁盘伪装成回收站的模样,让网民难辨真假,只能在Windows命令行下才能看到病毒的真面目。
图2 命令行下查看病毒文件的真面目
而更进一步的是,这个QQ群蠕虫病毒(Win32.Troj.Pincav)主要会自动通过QQ群共享空间传播,短时间内可能造成较大规模感染,据分析资料显示,这一病毒调用QQ.exe的特殊函数,直接后台登录QQ群共享空间,将病毒自身上传至所有群空间。
图3 中毒后QQ会自动向群共享空间上传病毒程序
金山毒霸工程师举例说,当一个网民下载“成人电视棒升级破解版”中毒之后,病毒程序被自动上传到所有QQ群,文件上传完毕后QQ群会通知所有群组成员进行下载,在线的群成员就可能打开这个文件,这个QQ群蠕虫病毒就通过这个链条迅速传播。
图4 金山毒霸2012猎豹可拦截这个QQ群蠕虫病毒
“一个网民有多个QQ群,一个QQ群有数十或数百成员。”金山毒霸工程师表示,这种QQ群蠕虫病毒一旦爆发,可能导致较大规模感染。金山毒霸已经与腾讯安全部门进行紧急磋商,目前金山毒霸猎豹+QQ电脑管家极速安全套装已经可以完美拦截,网友可立即下载安装并运行,避免中毒。