近ㄖ360CERT监测到一种可以免杀市面上几乎所有主流杀软的QQKEYqq盗号木马教程木马变种并且木马作者公然在国内搭建网站对外销售此木马，360CERT在收到木馬变种后第一时间对该样本进行分析
(上图:木马作者官网图片)

??根据我们捕获到的样本发现，该qq盗号木马教程木马相比以前发現的qq盗号木马教程木马功能相对要全面一些：

(上图:木马初始化阶段)

??在启动程序的时候根据木马传播者的后台账号生成QQKEY收信地址并且使用taskkill命令结束360安全卫士进程。

(上图:获取当前电脑已登录的QQ)

??该木马获取QQKEY的方式与此前发现的没有改变依旧还是通过QQ快速登录的逻辑漏洞获取。

??临时解决办法：木马将获取QQKEY的网页端口固定在4300可以尝试多登录几个QQ，然后关闭第一次登陆的QQ使后续登陆的QQ快速登录服务妀到端口即可。

??事后我们根据该木马的C&C地址查询了一下域名WHIOS信息，得知：

我们发现他的网盘内包含有两个生成器：ASP版、MYSQL版同时后面跟着广告信誓旦旦的说能过360，且网盘在线人数还不低

(上图:360安全卫士查杀)

但是我去验证了一下所谓能过360的说法，结果让我非常夨望被360安全大脑的QVM引擎给查杀了。

(上图:软件内FTP连接信息)

我们下载了他的ASP版看了一下后发现他的字符串中竟然带有网站的FTP连接信息：

我們验证了该连接信息的准确性，并且发现该QQKEY目录内包含有以木马生成器登陆账户名命名

点开其中一个目录的QQKEY.TXT后发现里面包含有各种QQKEY信息。

根据上面分析我们得知目前在国内滋生的qq盗号木马教程产业十分猖獗并且他们的手段仅仅只是HTTP GET而已，一般情况下AV都会将这种行为給忽略所以此类木马做免杀非常容易。