QQ盗号木马简单分析
本帖最后由 willJ 于 2012-11-13 13:59 编辑基本信息
作者:willJ
报告更新日期:2012/7/28
样本类型:钓鱼盗号
样本文件MD5 校验值:2a491b5566a126dd70758815f0a3513b
壳信息:无壳
可能受到威胁的系统:windows报告名称:最近流行的QQ盗号木马分析
简介
运行木马后通过弹出安全警告要求输入密码达到钓鱼盗取QQ号目的。
被感染系统及网络症状
QQ对话框被隐藏,弹出自己构造的警告对话框
网络症状
向指定IP发送QQ号和密码
详细分析/功能介绍木马主要流程:
1.资料.exe的分析:
资料.exe是c写的,没有加壳,功能很简单,就是调用Raining.dll,使用Raining.dll的一个导出函数InitDll,然后进入一个死循环
2.主体的功能代码在Raining.dll里面,查找QQ2012 2011窗口是否存在,存在就获取进程ID,顶层窗口句柄,窗口类名,同TXGuiFoundation比较,通过Spy++工具我们就可以知道,QQ的窗口类名就是TXGuiFoundation。为后面的盗号做准备。
3.自己提权,为调试别的程序做准备
4.打开QQ进程,在其进程空间中寻找\qq\FixFileList.dat字符串,因为在这个字符串的前面就是QQ号,也就是QQ为每个用户建立的一个文件夹
5.通过showwindow将QQ窗口隐藏,构造钓鱼窗口
6.通过socket套接字将信息发送到指定的IP
发送的内容
预防及修复措施
这个只是一个钓鱼的木马,只用删除文件就可以清除了。
技术热点及总结
这个钓鱼的木马比较巧妙的隐藏了QQ,弹出钓鱼,如果第一次遇见还以为是真的,木马没有对注册表,服务等项做操作,也没有危险的API操作,所以很多杀软对其无动于衷,这个是它的精妙之处吧。这类的盗号我看见过几个版本了,有VB写的,有VC写的,发信方式也有不同的,有socket的,也有通过IE的,大家以后在接收到什么文档.exe,资料.exe,照片.exe等类似名字的exe一定要多加小心哦。
最后感谢下lingfeng学长的指导
附件:
密码:52pojie
小心运行!!!
学习了,exe文件不乱接。 以前见过一个你打开相应邮件密码就会给别人发过去的,原理一样么 楼主牛掰!! 感谢楼主啊 顶起来,支持一下
受益匪浅{:1_918:} 不错学习一下 好方法,希望别让制造者改进技术啊!! 怎么用呀什么都不懂 菜鸟路过,只为看看 我好像中招了 这个得删除哪个文件啊 呵呵,厉害的木马啊 rita19879456 发表于 2012-7-28 16:18 static/image/common/back.gif
我好像中招了 这个得删除哪个文件啊
实在不行你重启就OK了 只为看看 嗯又学会了一招我得用易写一个 无阻 发表于 2012-7-28 16:33 static/image/common/back.gif
嗯又学会了一招我得用易写一个
玩玩可以,不要做坏事哟{:1_907:} 我一下来研究研究