吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 39842|回复: 164
收起左侧

[PC样本分析] 百度官微所谓首家发现“拉丝人”盗号木马分析

    [复制链接]
kangkai 发表于 2014-8-29 20:52
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 kangkai 于 2014-8-29 23:00 编辑

//   昨天晚上回家看见百度杀毒官方微博发了一条所谓“拉丝人”的盗号木马微博,说是首家发现拦截,其实这类样本(盗号集团)在很早之前就出现了,但是百度在最近才截获,还冠以国内安全厂商均未能识别出该木马,感到恶心。从时间戳就能看出此木马出现很久了。
//  好久没有在论坛冒泡,今天冒个小泡泡,活跃下论坛气氛


样本信息:


文件: C:\Users\administrator\Desktop\9913c5bac226057b1c0c7b98df0d982b.exe
大小: 57482 字节
修改时间: 2014年8月8日, 19:03:31
MD5: 9913C5BAC226057B1C0C7B98DF0D982B
SHA1: B66BF491482852B36B5EF4AA0C04AA05AD7AA9AC
CRC32: 7B4F6042
壳信息:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
时间日戳:02/07/2014

病毒行为:

此盗号木马通过三个CreateThread函数不断查找注册表QQ安装目录,以此找到QQ的安装目录;删除QQ用户数据;母体资源目录自带来一个PE文件rasmall.dll,释放虚假的系统文件rasman.dll进行dll劫持; Rasman.dll通过hook QQ的TSSafeEdit.dat和LoginLogic.dll模块,获取登陆框加密前的密码,从而取得QQ密码


详细分析:

一、 母体分析
1.  盗号木马母体运行后,会创建三个线程查找QQ的安装目录






2.  删除Tencent Files目录下的所有文件,导致用户保存密码失效,需要重新输入密码,以此方式HooK得到用户密码




二、盗号模块分析

1. 盗号模块一上来就是创建一个线程,来对QQ的密码保护模块和登陆模块进行Hook



2. 通过OD查看挂钩hook的地址





3.  接收QQ密码服务器 、Hook TSSafeEdit.dat、 获取QQ版本号等信息








三、被注入后QQ.exe调试分析

1. 被注入后情况

10.png


2. 对密码的盗取主要通过对TSSafeEdit.dat模块hook实现,Hook的地方刚好是密码在加密之前的地方,这导致木马可以获取到明文密码

11.png

12.png

13.png


3. 获取的QQ版本号和QQ密码  

14.png


获取到明文密码后,木马就会将密码发送至木马作者服务器“http://222.186.130.187:81/qq/lin.asp


四、后话

互联网安全之路还很漫长,传统的安全威胁和新型的安全都在齐头并进!在双重威胁的夹击下,保持良好的上网习惯是保障安全最有效地方式之一。在日益猖獗的木马病毒后面,也有许多安全从业者在夜以继日的奋斗,和安全威胁斗争。
致谢:感谢 willJ  在技术路上对Me的帮助  @willJ









点评

现在百度杀毒的推广方式比数字还恶心  发表于 2014-9-7 08:51

免费评分

参与人数 23热心值 +23 收起 理由
cm79140862 + 1 我很赞同!
吾爱扣扣 + 1 又学会儿一种GETQQPWD的方法。。
Sp4ce + 1 我很赞同!
炜炜 + 1 加油加油!
辰夜酱紫 + 1 谢谢@Thanks!
onlylonely + 1 感谢!
Shmily_ + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
wustjz + 1 看不懂 呵呵
q1874843 + 1 谢谢@Thanks!
hyiok123 + 1 技术功底厚
kindbigbear0 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
紫琅琊、 + 1 我很赞同!
yAYa + 1 大牛的最后一句话说的很好, 赞
blmk + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
Cholon + 1 啪!打脸了
9hack + 1 我很赞同!
兜兜爱吃糖 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
回的一手好帖 + 1 鼓励转贴优秀软件安全工具和文档!
阿萨德22 + 1 我很赞同!
Raja + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
w1347512909 + 1 鼓励转贴优秀软件安全工具和文档!
heike606060 + 1 写的很好,虽然我没看懂- -!
a1014 + 1 感谢分析

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

heike606060 发表于 2014-8-29 21:12
大神,看私信呀,找你呢
arryboom 发表于 2014-9-3 14:35
网址打开之后:
ORIGINAL STRING: Now is the time for all good men to come to the aid of their country.

KEY VALUE: BR#J;)+%*=#,SLV.5;'IY7A[K9CEMJX8,\1ZU3B:L\$G#>/)@(6^L?E5P>?:81;\^W;G/

ENCRYPTED CYPHERTEXT: =TjRZ QBXX:!3STUi8[-{,V,!m'=V (^z6\/_l(KgWVJ !AR~#YeA8[VHRT)0#I>

no
头像被屏蔽
a1014 发表于 2014-8-29 20:57
c8500s 发表于 2014-8-29 20:58
没积分给你了,,,不错...
Tong 发表于 2014-8-29 21:00
多谢分享
gzrheheyixiao 发表于 2014-8-29 21:17
前来围观大神的分析!学习一番!
扯淡、、 发表于 2014-8-29 21:29
大神啊。膜拜
宿命棋局 发表于 2014-8-29 21:29
顶起,很不错的分析
孤芳独步 发表于 2014-8-29 21:34 来自手机
请告诉我我是第几楼?
amisiyuoy 发表于 2014-8-29 21:37
laser病毒
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-1 03:46

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表