简单分析stream盗号木马
今天没事正好闲着无聊,发现了这个样本,特此用来练练手。如有分析不足的地方还望大大们多多指教。原帖:https://www.52pojie.cn/thread-845118-1-1.html
原始文件名: a先点我破解.exe
MD5: 6F238F56D557BAF1E79E27093C584483
处理器架构:X32
文件大小: 1,480 KB (1,515,907 字节)
文件格式: Microsoft Visual C++ 6.0
1、首先查看PE段发现有附加数据(注意)
2、用IDA查看流程后发现只是加载一些DLL,如果加载失败则弹出错误
3、之前看见了它使用VirtualAlloc函数,本以为它的主进程在内存中,但是调式后发现我思路错了,但是在字符串中我看见了一个很重要的东西
熟悉的都应该知道了。没错就是这个程序是一个易语言写的(别问我为什么)。既然是易语言写的又有附加数据,根据我的经验,附加的数据应该是进行盗号的主程序。经过调式发现,一直是使用返回的是eax的值
由上可知,调试这软件时,它一直在无用程序中循坏执行(至于循环多少次我就不知道了)。到这突然想到,既然是附加数据,查看一下区段信息,发现:
竟然有两个.data段,既然又是易语言程序(你们懂的),直接E-Code Exploer分析就好了(不过时间有点长)最后定位到:
5、首先找到steam
(以下信息太长所以只截了字符串)
6、构造HTTP头
7、获取QQ账户和密码
8、取本地授权(免验证码)
9、获取用户信息
10、对键盘进行监控
11、获取磁盘信息(获取steam目录)
12、对指定的C2服务器发送信息(103.234.97.194),本地是存在数据库
简单来说,此病毒就是打开steam看你是否记住密码,如果记住的话使用免验证码进行登陆并将账户密码保持在本地数据库,如果没记住的话则记录你的键盘。 现在的人,真的,丧心病狂,啥玩意都能给你整出来,现在上个网都没有安全感{:301_972:} 好好学习下 虽然看不懂 那怎么防范,怎么知道有这病毒呢。 大佬谦虚了,分析的很透彻 这么厉害{:1_921:} 膜拜大佬,学习了
膜拜大佬,学习
膜拜大佬,学习 膜拜大佬,学习
好像用过-- 二维二翁