QQ盗号木马简单分析

willJ

基本信息

  作者：willJ
  报告更新日期：2012/7/28
  样本类型：钓鱼盗号
  样本文件MD5 校验值：2a491b5566a126dd70758815f0a3513b
  壳信息：无壳
  可能受到威胁的系统：windows  报告名称：最近流行的QQ盗号木马分析
  

简介

运行木马后通过弹出安全警告要求输入密码达到钓鱼盗取QQ号目的。

被感染系统及网络症状

  QQ对话框被隐藏，弹出自己构造的警告对话框

网络症状

向指定IP发送QQ号和密码


详细分析／功能介绍

木马主要流程：

1.资料.exe的分析：

  资料.exe是c写的，没有加壳，功能很简单，就是调用Raining.dll，使用Raining.dll的一个导出函数InitDll，然后进入一个死循环

2.主体的功能代码在Raining.dll里面，查找QQ2012 2011窗口是否存在，存在就获取进程ID，顶层窗口句柄，窗口类名，同TXGuiFoundation比较，通过Spy++工具我们就可以知道，QQ的窗口类名就是TXGuiFoundation。为后面的盗号做准备。

3.自己提权，为调试别的程序做准备

4.打开QQ进程，在其进程空间中寻找\qq\FixFileList.dat字符串，因为在这个字符串的前面就是QQ号，也就是QQ为每个用户建立的一个文件夹

5.通过showwindow将QQ窗口隐藏，构造钓鱼窗口

6.通过socket套接字将信息发送到指定的IP

  发送的内容

预防及修复措施

  这个只是一个钓鱼的木马，只用删除文件就可以清除了。


技术热点及总结
  这个钓鱼的木马比较巧妙的隐藏了QQ，弹出钓鱼，如果第一次遇见还以为是真的，木马没有对注册表，服务等项做操作，也没有危险的API操作，所以很多杀软对其无动于衷，这个是它的精妙之处吧。

  这类的盗号我看见过几个版本了，有VB写的，有VC写的，发信方式也有不同的，有socket的，也有通过IE的，大家以后在接收到什么文档.exe，资料.exe，照片.exe等类似名字的exe一定要多加小心哦。

  最后感谢下lingfeng学长的指导
  附件：
资料_1821 (2).rar (78.29 KB, 下载次数: 883)

2012-7-28 15:40 上传

点击文件名下载附件
下载积分: 吾爱币 -1 CB

  密码：52pojie
  小心运行！！！

safer

学习了，exe文件不乱接。

lilu2280364133

以前见过一个你打开相应邮件密码就会给别人发过去的，原理一样么

吾名青雉

楼主牛掰！！

蓝眼睛的小狼

感谢楼主啊

wangxing_

顶起来，支持一下

坏人

受益匪浅

461899540

不错学习一下

千灵紫皇

好方法，希望别让制造者改进技术啊！！

music90

怎么用呀  什么都不懂

a854630969

菜鸟路过，只为看看

rita19879456

我好像中招了 这个得删除哪个文件啊

huabian

呵呵，厉害的木马啊

willJ

rita19879456 发表于 2012-7-28 16:18
我好像中招了 这个得删除哪个文件啊

实在不行你重启就OK了

跳舞

只为看看

无阻

嗯  又学会了一招  我得用易写一个

willJ

无阻 发表于 2012-7-28 16:33
嗯  又学会了一招  我得用易写一个

玩玩可以，不要做坏事哟

BDUN

我一下来研究研究