网站 › 『病毒分析区』 › 关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)

战争贩子 发表于 2014-10-13 20:16

关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)

部分网吧QQ密码被盗的病毒行为分析                                                                      ------ 52pojie 战争贩子 本文为初步分析报告，现已经移交给腾讯逆向工程师处理。新思路盗QQ可以借鉴。
[*]具体现象
部分网吧发现QQ木马盗号的现象，主要是体现着以下几点：
1、木马执行不规律，木马行为与策略相关联。
2、就了解到的情况来看，感染QQ2013为主。3、破坏QQ文件，全局dll注入。修改微软官方模块rasman.dll,使系统指向假的rasman.dll，执行完病毒代码之后再指向真的rasmanorg.dll。4、QQ被破坏，按登录键进程直接退出。
[*]相关文件
暂时查到病毒下载器为C:\windows\debug\QQprotect.exe病毒主体应该是：C:\programfiles\intel\随机数.exe被感染的文件；C:\windows\system32\rasman.dll   QQPath\bin\qq.exe父进程据报告极有可能是：Flash_ActiveX.exe2013年 顺网爆发过相关漏洞
[*]环境
多种网吧计费，游戏更新环境。共同点使用P某in系统。
[*]详细分析
一、QQprotect.exe 分析病毒爆发时间十月7号至十月11号下午；客户机执行Hips工具时病毒不执行；11号下午病毒策略下载网站突然无法打开。 按照进程排除的办法，确定病毒文件为QQprotect.exe，提取出本文件在纯净的虚拟机中执行，发现QQ进程在几分到几十分钟左右掉线。之后QQ文件被恶意篡改，登录QQ的时候QQ直接崩溃。与客户反馈的症状相符。 1、脱UPX壳，利用OD打开QQprotect程序进行跟踪，首先程序判断自身是否在C:\windows\Debug目录下，如果不再复制自身然后进行自删除。 （图1）图1然后退出进程运行复制之后的程序。2、继续执行下去，到如下函数。进入该函数，发现程序下载了一个log文件。（图2） 图2 配置文件下载CALL 进入该函数发现，系统从http://v.5youka.com/tj/list.jpg 下载到系统的C:\windows\debug\PASSWDS.LOG中。 （图3） 图3由于11号下午病毒突然不执行，策略文件无从得到，后面的所以与策略文件有关的判断及跳转均为笔者模拟的病毒行为。 3、下载完成之后，系统开始读取配置文件内容，并且通过配置文件中的内容进行解析。4、病毒根据配置文件的信息，在C:\Program Files\inter下载生成了一个随机数的exe。（图4、5） 图4 构造文件目录 图5 生成随机exe路径 由于配置文件缺失，该exe文件没有下载成功。但是几乎可以确定是QQ木马。因为整个程序就下载过这一次exe程序。5、之后，系统先检测某些进程是否执行，由于函数参数为空，笔者跟踪了一下，发现是配置文件中保存的（笔者没下载到策略文件，自己随便建立的空文件）。有可能是判断安全软件是否执行的函数。（图5） 二、rasman.dll 分析文件大小及属性被篡改（如图6） 图 6输出函数（EAT）被修改 OD分析Dll程序发现敏感盗号字符串 (图7)图7 明显的收信机制该函数在偏移0x340处，病毒发作的时候已经成功的注入到QQ的进程中，还不清楚该dll是如何盗取的QQ密码，但是此模块应该就是发信模块了，系统利用随机.exe下载了该dll，然后unmap一下这个dll，然后映射上自己的假DLL。注入腾讯之后获取腾讯的内存空间内容。回溯追查了一下，发现是以线程的形式启动的，该函数处于 $+0x1480处。（图8） 回溯之后有了重大发现，可以确定该文件为仿造微软的盗号模块。下图为盗号木马的核心代码。(这个地址的代码完全可以提供盗号的新思路) 这里非常重要，直接loadLoginUI.dll后面我发现 他直接创建控件，也就是说把UI修改，输入的密码直接输入到他的文本框中。loadLoginUI中的导出函数是谁教他的，如何定义的是如何知道的？腾讯什么时候和微软合作了？继续往下看，程序开始动态的写控件啦，如图： 作者竟然还做的日志 --！作者在记录时间！ 访问空间的时候，修改了内存的属性。通过网络查询出来的结果策略地址：http://v.5youka.com/tj/count.php 已经无法访问了IDC：
[*]总结
由于有特殊的保护机制，无法查出是哪个进程调用的该程序，启动较早，父进程可能随开机启动，无法排查。 解决方法如下： 方案1、Host跳转，禁止策略的获取。网址为：http://v.5youka.com方案2、升级QQ到最新版本，发现这个病毒只支持QQ2013，尽量不用这种办法。方案3、可以在禁止启动的进行的列表中增加C:\windows\debug\QQprotect.exe
注入微软DLL确实是一种特别强大的办法，然后利用注入到进程的空间模块，提升自身的权限，然后重写腾讯的控件。作者真是深思熟虑啊。

战争贩子 发表于 2014-10-17 17:11

jomin 发表于 2014-10-17 10:42
在网吧登陆过一次，立马被盗，怀疑网吧雇佣的网管做了手脚

这个也是有可能的 ，网吧的管理系统里面有下发文件的功能 而且当等到我们检测的时候他们的病毒就不下发了 所以无从查起

wzj005 发表于 2014-10-13 20:40

WO我想来试试这个思路{:301_997:}

旋冰 发表于 2014-10-13 20:22

你这是在教坏我们吗？

asd9988 发表于 2014-10-13 20:25

思路不错，盗号嘛。。。不道德

囚于心_@ 发表于 2014-10-13 20:43

前排火前留名      

请叫我元芳 发表于 2014-10-13 21:14

前排留名   {:301_1000:}

anwzx 发表于 2014-10-13 21:26

果断加精处理啊

myqqq 发表于 2014-10-13 21:28

好久都不去网吧了

年轻誑少 发表于 2014-10-13 21:33

网吧我都不敢登QQ！

红客鄙哥 发表于 2014-10-13 22:03

看到开头就想跳过了

查看完整版本: 关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)