本帖最后由 willJ 于 2012-11-13 13:59 编辑
基本信息
作者:willJ
报告更新日期:2012/7/28
样本类型:钓鱼盗号
样本文件MD5 校验值:2a491b5566a126dd70758815f0a3513b
壳信息:无壳
可能受到威胁的系统:windows 报告名称:最近流行的QQ盗号木马分析
简介
运行木马后通过弹出安全警告要求输入密码达到钓鱼盗取QQ号目的。
被感染系统及网络症状
QQ对话框被隐藏,弹出自己构造的警告对话框
网络症状
向指定IP发送QQ号和密码
详细分析/功能介绍 木马主要流程:
1.资料.exe的分析:
资料.exe是c写的,没有加壳,功能很简单,就是调用Raining.dll,使用Raining.dll的一个导出函数InitDll,然后进入一个死循环
2.主体的功能代码在Raining.dll里面,查找QQ2012 2011窗口是否存在,存在就获取进程ID,顶层窗口句柄,窗口类名,同TXGuiFoundation比较,通过Spy++工具我们就可以知道,QQ的窗口类名就是TXGuiFoundation。为后面的盗号做准备。
3.自己提权,为调试别的程序做准备
4.打开QQ进程,在其进程空间中寻找\qq\FixFileList.dat字符串,因为在这个字符串的前面就是QQ号,也就是QQ为每个用户建立的一个文件夹
5.通过showwindow将QQ窗口隐藏,构造钓鱼窗口
6.通过socket套接字将信息发送到指定的IP
发送的内容
预防及修复措施
这个只是一个钓鱼的木马,只用删除文件就可以清除了。
技术热点及总结
这个钓鱼的木马比较巧妙的隐藏了QQ,弹出钓鱼,如果第一次遇见还以为是真的,木马没有对注册表,服务等项做操作,也没有危险的API操作,所以很多杀软对其无动于衷,这个是它的精妙之处吧。 这类的盗号我看见过几个版本了,有VB写的,有VC写的,发信方式也有不同的,有socket的,也有通过IE的,大家以后在接收到什么文档.exe,资料.exe,照片.exe等类似名字的exe一定要多加小心哦。
最后感谢下lingfeng学长的指导
附件:
资料_1821 (2).rar
(78.29 KB, 下载次数: 883)
密码:52pojie
小心运行!!!
| 
[复制链接]
发表于 2012-7-28 15:44
发表于 2015-3-16 22:29
