对“免费的QQ**工具”一次简单溯源
基本信息作者:t2st
时间:2015/11/16
免费版**软件.exe
Size: 647168 bytes
File Version: 1.0.0.0
Modified: 2013年6月17日, 19:59:22
MD5: BB6C7C8C9C55E6B487163F33F0871190
SHA1: 7771A6FD6A6AFC3E78BEC14218D1C22C00FA2BAA
CRC32: 06800F9C
https://dn-shimo-image.qbox.me/MaDgMmuM7vm2H4ff.png%21thumbnail
教程.exe
Size: 1497523 bytes
Modified: 2013年6月17日, 20:02:16
MD5: 70D00D837ECF5F48B28912E5CE8C556C
SHA1: ABB37A48F6F7504C8C6C84F1D973E407A659D284
CRC32: EAFC5C70
https://dn-shimo-image.qbox.me/ihNsMyYOqgUkEjWY.png%21thumbnail
按照它的说法,这个软件是利用腾讯漏洞来达到**币和会员以及各种**。我们打开这个QQ**软件需要输入账号密码123,这里的账号密码并不是QQ账号和QQ密码,是软件自身的密码。输入后才能进入软件,这个时候则需要QQ账号和QQ密码。
https://dn-shimo-image.qbox.me/6suM7XmkE7XwPg7W.png%21thumbnail
我们直接放OD运行一下,在过程中发现了一个QQ邮箱,如果没有猜错这个应该是作者的邮箱。
https://dn-shimo-image.qbox.me/4TpLmRHftfyn6U8h.png%21thumbnail
而继续分析发现了这两段字符串,初步估计是通过易语言链接stmp.qq.com失败连接发信服务器,而易语言的连接邮件服务器的格式大致是这样的。
https://dn-shimo-image.qbox.me/vcoS8qgmqGHXYUGL.png%21thumbnail
我们尝试去登录一下这个QQ邮箱,发现作者已经修改了QQ密码了,只好继续分析软件吧。
https://dn-shimo-image.qbox.me/F5ZOtzP5zzDP2cwD.png%21thumbnail
而当我们输入QQ账号和QQ密码的时候,程序会通过邮件的形式发送到作者的邮箱上。其实软件剩下的功能都大同小异了,那我们开看看这个钓鱼程序的作者。
信息收集:
我们先看看这个作者的密码是否有泄露?
https://dn-shimo-image.qbox.me/nWKuY8jOEmRtbGuf.png%21thumbnail
再去QQ资料上看看,发现QQ资料中有手机号码,但是有一部分被打码了。
https://dn-shimo-image.qbox.me/L33ohmZYRWwX5QNN.png%21thumbnail
这里知道了作者的手机18285596***,通过归属地查询猜测作者大概是贵州凯里人。我们知道了作者注册了CSDN和新浪微博。
https://dn-shimo-image.qbox.me/HeoJzWvPxxxVqtKL.png%21thumbnail
通过在CSDN上找回密码,利用绑定手机找回密码。我们再次获取到了作者一部分手机号码:182*****988。
和之前已经知道的手机号码部分拼凑起来,得到完整的手机号码18285596988(贵州凯里)。
姓名获取发现是一个叫*俊东的人,而这个Username的拼音组成的姓名随意测试了罗林波是比较常见的。继续挖掘信息,发现了作者的博客。
1379486198的博客:http://dihuei1379486198.blog.163.com/
在博客里随便翻翻,看到一个作者发布了“完美工作室(C)制作QQ密码破解器”这个软件,并且给了百度云盘下载。
https://dn-shimo-image.qbox.me/C54BDHj6787DJwzQ.png%21thumbnail
而这里获取到作者的百度账号的用户名”TB丶暗殺小组“,我们先看看这个账号做了些神马,待会再分析那个软件。
https://dn-shimo-image.qbox.me/TWvJ2HJbFmrgmwbk.png%21thumbnail
在整理作者的发帖纪录中,发现了他的真实姓名,和我们之前猜测的一样确实是叫罗林波。
https://dn-shimo-image.qbox.me/Kr1aYcC1jGSjaDVT.png%21thumbnail
而这个贴吧是”镇远三小“,根据前面手机归属地的信息推测作者应该是在贵州。通过搜索引擎获取到了“镇远三小”这所学院位于贵州省黔东南苗族侗族自治区镇远县舞阳镇和平街。
看会“完美工作室(C)制作QQ密码破解器”这款软件,它的分享时间是2015-04-01 13:14。应该是最新的,下载下来后杀软报毒,初步估计又是钓鱼软件。
https://dn-shimo-image.qbox.me/HXeTYXEmaSzafX8g.png%21thumbnail
我们接着对“完美工作室(C)制作QQ密码破解器”这款软件进行分析,看看能不能有什么新的突破。
完美工作室(C)制作QQ密码破解器.exe
Size: 774144 bytes
File Version: 1.0.0.0
Modified: 2015年4月1日, 12:57:33
MD5: 678710412E4CFDE5A5DD2FFFE2990CB9
SHA1: F5489A6A7FC93BF2F80EEE28CE0B6460B7F97B8E
CRC32: 13E900BF
通过查壳发现软件并没有加壳,是用易语言写的。
https://dn-shimo-image.qbox.me/IUnHkYkLOS4wru9C.png%21thumbnail
打开软件看了看,要使用这个软件还需要联系作者激活,应该是需要某个核心的DLL文件才能运作起来。
我技术还不够,挖掘不到别的信息了,仅仅认为这个软件主要的作用就诈骗。就是通过欺骗使用者联系作者获取所谓的“核心dll”这种方式来骗钱,而这个凭据主要是提取字符串中无论怎么跑都提示联系作者。
https://dn-shimo-image.qbox.me/bsTtAKEkJDnepoHF.png%21thumbnail
好吧,到这里我们已经差不多知道作者的基本信息了,就不再继续了。
我也有一点楼主的思路,读书的时候是一个心想读编程的,可惜没机会读大学,出来之后自己学了一点点,懂得不多,现在工作主要和一些陌生的QQ聊天,我会复制他们的QQ邮箱在REG007,看他们都注册了什么,去百度,拿到手机号码,在复制邮箱或者手机号码去支付宝转账,现在很多人玩支付宝财付通了,就提示了转给谁,只不过姓加密了,没关系,我能知道他的名字,然后QQ上装傻,你是不是很多年前的那个什么(他名字),然后逆袭了,他会很拼命的问我是不是什么前男友前女友,有点好玩!! 楼主好厉害啊除了膜拜还是膜拜,有几个问题,作者注册了CSDN和新浪微博。是通过他的QQ邮箱知道的么 ?(姓名获取发现是一个叫*俊东的人,而这个Username的拼音组成的姓名随意测试了罗林波是比较常见的。继续挖掘信息,发现了作者的博客)姓名获取是怎么回事呢?还有为什么测试罗林波?又怎么发现作者的博客呢{:301_972:}看了楼主的分析就像看了一部悬疑片,小白的我想知道{:301_987:} 继续更 继续更 这种东西确定能用? 二楼说的好 {:301_993:}{:301_993:}{:301_993:}继续更。 一生情独醉 发表于 2015-11-16 19:06
这种东西确定能用?
其实这种不能用,作者弄这个软件仅仅用来钓鱼,可以说软件在实际用途来说并没有什么实际意义。 屌丝逆女神合 发表于 2015-11-16 19:07
二楼说的好
就一个钓鱼程序,对于不知情的人,输了正确的账号密码,作者就会收到有账号密码的邮件。 继续啊。楼主{:301_997:} 璀璨哥520 发表于 2015-11-16 19:02
继续更 继续更
{:17_1067:} 谢谢支持 大神绝对的大神