简易查找短信马隐藏的账号密码
本帖最后由 穿越蓝天 于 2015-9-5 13:46 编辑使用改之理反编译,可查看到木马使用的权限
一般短信马都会往邮箱发送搜集的内容,所以我们重点查看mail相关的类,我们看到有个A2的类很关键,点击进去看。
在A2里,我们看到了邮件服务器地址和用户名、用户密码的变量
Mail localMail = new Mail(C2.MAILUSER, C2.MAILPASS);
localMail.set_host("smtp.163.com");
可见是调用了这个core,账号密码经过base64编码
查看到so文件
使用winhex打开so文件,可见到3段base64的字符串,没错,这个就是我们想要的账号密码。
最后,思路大概就是这样,是不是很简单啊。当然,你也可以用ida来调试会更加直观更加专业。
穿越蓝天 发表于 2015-9-5 13:48
火眼应该分析不出什么的。很少杀软能识别出木马。
可以的 比如这个
火眼--结果分析--f35f21e08b22acb5ef07cb80edbce7a6 http://fireeye.ijinshan.com/analyse.html?md5=f35f21e08b22acb5ef07cb80edbce7a6&sha1=2cdf5da983430ff819f10fbdbb13b6fac9463148&type=1 azusys 发表于 2015-9-5 14:01
sorry我理解错了 我以为 你想要的是 短信收件人的电话呢··
之前我在我国外网站检测过,没发现异常。我也试下火眼。 哎。我的图呢 谢谢分享 图呢楼主。 {:301_997:}等图出来。貌似很牛掰。小白学习一下 可以直接上传木马文件到 火眼 图呢楼主 我也想要图 希望大神有后续文章 最好有图片 图哪里去啦0.0