一个 简单盗号病毒分析
本帖最后由 apxar 于 2014-4-21 16:02 编辑故事由来:在百度安全里面下载到一:地址http://anquan.baidu.com/bbs/thread-117867-1-1.html,不知道产自何地,但还是新鲜的,好吧,我对这个病毒的名字很感兴趣
运行环境:Xp分析:1无壳(真有爱)2解压后(在xp下,文件伪造成图片的样子,难道是对xp的怀念)
3 运行后(原来是个仿qq盗号的玩意)
4.运行后发现桌面的小妹妹不见了,去哪里了?。难道是感染了其他的东西?后来发现文件消失后,od还能重新加载,原来是隐藏了自己(还有人用这方法?)
5.运行后,将修改taskmgr.exe就是任务管理器,防止被关闭吧,360禁止修改就行了6对connect下断点:004527D0/$8B4424 08 mov eax,dword ptr ss:
004527D4|.8B5424 04 mov edx,dword ptr ss:
004527D8|.50 push eax ; /AddrLen
004527D9|.8B01 mov eax,dword ptr ds: ; |
004527DB|.52 push edx ; |pSockAddr
004527DC|.50 push eax ; |Socket
004527DD|.E8 90C60100 call <jmp.&WS2_32.#4> ; \connect
004527E2|.33C9 xor ecx,ecx
004527E4|.83F8 FF cmp eax,-0x1
004527E7|.0F95C1 setne cl
004527EA|.8BC1 mov eax,ecx
004527EC\.C2 0800 retn 0x8
返回函数后
00452773|.56 push esi ; /pAddr
00452774|.E8 BDC60100 call <jmp.&WS2_32.#11> ; \inet_addr
Esi的值为smtp.qq.com,尝试获得qq邮箱服务的地址,这里返回失败了。又尝试了另外的一种方法:
00452782|.56 push esi ; /Name
00452783|.E8 B4C60100 call <jmp.&WS2_32.#52> ; \gethostbyname
获地址取成功
Connect连接邮箱004527D8|.50 push eax ; /AddrLen
004527D9|.8B01 mov eax,dword ptr ds: ; |
004527DB|.52 push edx ; |pSockAddr
004527DC|.50 push eax ; |Socket = 13D0
004527DD|.E8 90C60100 call <jmp.&WS2_32.#4> ; \connect
8.邮箱服务需要帐号密码才能发送邮件,跟踪后
发现是foxmail的邮箱,下载一个Foxmail7.2登陆:
9.查找发件箱:
简单分析,娱乐一下,大牛勿喷 OllyDbg丶 发表于 2014-4-21 17:07
语言诙谐幽默,简单明了的分析,希望楼主以后多多提供这样的分析
我发现集集 评论都有你{:301_988:} apxar 发表于 2014-4-21 19:37
我发现集集 评论都有你
惭愧啊,我一直只顾灌水,在论坛没办法安下心来学到东西{:301_1008:} 给力赞一个! 楼主...给力..... 很不错 能看懂 谢谢楼主分享 楼主真牛!支持! 大神!学习了!!!!!! 可以再详细点全部流程跟踪分析一下。 十分感谢············· 语言诙谐幽默,简单明了的分析,希望楼主以后多多提供这样的分析 不错帖子!哥们做个教程呗
页:
[1]
2