吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 8124|回复: 14
收起左侧

[PC样本分析] 一个 简单盗号病毒分析

[复制链接]
apxar 发表于 2014-4-21 16:01
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 apxar 于 2014-4-21 16:02 编辑

故事由来:在百度安全里面下载到一:地址http://anquan.baidu.com/bbs/thread-117867-1-1.html,不知道产自何地,但还是新鲜的,好吧,我对这个病毒的名字很感兴趣

运行环境:Xp
分析:
1无壳(真有爱)
2解压后(在xp下,文件伪造成图片的样子,难道是对xp的怀念)

3    运行后(原来是个仿qq盗号的玩意)

4.运行后发现桌面的小妹妹不见了,去哪里了?。难道是感染了其他的东西?后来发现文件消失后,od还能重新加载,原来是隐藏了自己(还有人用这方法?)

5.运行后,将修改taskmgr.exe就是任务管理器,防止被关闭吧,360禁止修改就行了
6connect下断点:
[Asm] 纯文本查看 复制代码
004527D0  /$  8B4424 08     mov eax,dword ptr ss:[esp+0x8]
004527D4  |.  8B5424 04     mov edx,dword ptr ss:[esp+0x4]
004527D8  |.  50            push eax                                 ; /AddrLen
004527D9  |.  8B01          mov eax,dword ptr ds:[ecx]               ; |
004527DB  |.  52            push edx                                 ; |pSockAddr
004527DC  |.  50            push eax                                 ; |Socket
004527DD  |.  E8 90C60100   call <jmp.&WS2_32.#4>                    ; \connect
004527E2  |.  33C9          xor ecx,ecx
004527E4  |.  83F8 FF       cmp eax,-0x1
004527E7  |.  0F95C1        setne cl
004527EA  |.  8BC1          mov eax,ecx
004527EC  \.  C2 0800       retn 0x8


返回函数后

[Asm] 纯文本查看 复制代码
00452773  |.  56            push esi                                 ; /pAddr
00452774  |.  E8 BDC60100   call <jmp.&WS2_32.#11>                   ; \inet_addr


Esi的值为smtp.qq.com,尝试获得qq邮箱服务的地址,这里返回失败了。
又尝试了另外的一种方法:

[Asm] 纯文本查看 复制代码
00452782  |.  56             push esi                                 ; /Name
00452783  |.  E8 B4C60100    call <jmp.&WS2_32.#52>                   ; \gethostbyname


获地址取成功

Connect连接邮箱
[Asm] 纯文本查看 复制代码
004527D8  |.  50             push eax                                 ; /AddrLen
004527D9  |.  8B01           mov eax,dword ptr ds:[ecx]               ; |
004527DB  |.  52             push edx                                 ; |pSockAddr
004527DC  |.  50             push eax                                 ; |Socket = 13D0
004527DD  |.  E8 90C60100    call <jmp.&WS2_32.#4>                    ; \connect


8.邮箱服务需要帐号密码才能发送邮件,跟踪后

发现是foxmail的邮箱,下载一个Foxmail7.2登陆:


9.查找发件箱:
5.jpg


简单分析,娱乐一下,大牛勿喷

免费评分

参与人数 4威望 +2 热心值 +2 收起 理由
willJ + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
OllyDbg丶 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
Hmily + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
H2o + 1 鼓励优秀软件安全工具和文档!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| apxar 发表于 2014-4-21 19:37
OllyDbg丶 发表于 2014-4-21 17:07
语言诙谐幽默,简单明了的分析,希望楼主以后多多提供这样的分析

我发现集集 评论都有你
OllyDbg丶 发表于 2014-4-21 20:06
apxar 发表于 2014-4-21 19:37
我发现集集 评论都有你

惭愧啊,我一直只顾灌水,在论坛没办法安下心来学到东西
这只猪 发表于 2014-4-21 16:05
小淫神 发表于 2014-4-21 16:07
楼主...给力.....
九零-鑫鑫 发表于 2014-4-21 16:35
很不错 能看懂 谢谢楼主分享
fly_xsh 发表于 2014-4-21 16:45
楼主真牛!支持!
llq@xsh 发表于 2014-4-21 16:51
大神!学习了!!!!!!
Hmily 发表于 2014-4-21 16:55
可以再详细点全部流程跟踪分析一下。
飘泊DE船 发表于 2014-4-21 16:56
十分感谢·············
OllyDbg丶 发表于 2014-4-21 17:07
语言诙谐幽默,简单明了的分析,希望楼主以后多多提供这样的分析
黑恋 发表于 2014-4-21 18:04
不错帖子!哥们做个教程呗
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 14:38

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表