对“免费的QQ**工具”一次简单溯源

t2st

基本信息
作者：t2st
时间：2015/11/16

免费版**软件.exe
Size: 647168 bytes
File Version: 1.0.0.0
Modified: 2013年6月17日, 19:59:22
MD5: BB6C7C8C9C55E6B487163F33F0871190
SHA1: 7771A6FD6A6AFC3E78BEC14218D1C22C00FA2BAA
CRC32: 06800F9C



教程.exe
Size: 1497523 bytes
Modified: 2013年6月17日, 20:02:16
MD5: 70D00D837ECF5F48B28912E5CE8C556C
SHA1: ABB37A48F6F7504C8C6C84F1D973E407A659D284
CRC32: EAFC5C70



按照它的说法，这个软件是利用腾讯漏洞来达到**币和会员以及各种**。我们打开这个QQ**软件需要输入账号密码123，这里的账号密码并不是QQ账号和QQ密码，是软件自身的密码。输入后才能进入软件，这个时候则需要QQ账号和QQ密码。



我们直接放OD运行一下，在过程中发现了一个QQ邮箱，如果没有猜错这个应该是作者的邮箱。




而继续分析发现了这两段字符串，初步估计是通过易语言链接stmp.qq.com失败连接发信服务器，而易语言的连接邮件服务器的格式大致是这样的。



我们尝试去登录一下这个QQ邮箱，发现作者已经修改了QQ密码了，只好继续分析软件吧。



而当我们输入QQ账号和QQ密码的时候，程序会通过邮件的形式发送到作者的邮箱上。其实软件剩下的功能都大同小异了，那我们开看看这个钓鱼程序的作者。

信息收集：

我们先看看这个作者的密码是否有泄露？



再去QQ资料上看看，发现QQ资料中有手机号码，但是有一部分被打码了。



这里知道了作者的手机18285596***，通过归属地查询猜测作者大概是贵州凯里人。我们知道了作者注册了CSDN和新浪微博。




通过在CSDN上找回密码，利用绑定手机找回密码。我们再次获取到了作者一部分手机号码：182*****988。


和之前已经知道的手机号码部分拼凑起来，得到完整的手机号码18285596988（贵州凯里）。


姓名获取发现是一个叫*俊东的人，而这个Username的拼音组成的姓名随意测试了罗林波是比较常见的。继续挖掘信息，发现了作者的博客。


1379486198的博客：http://dihuei1379486198.blog.163.com/


在博客里随便翻翻，看到一个作者发布了“完美工作室(C)制作QQ密码破解器”这个软件，并且给了百度云盘下载。



而这里获取到作者的百度账号的用户名”TB丶暗殺小组“，我们先看看这个账号做了些神马，待会再分析那个软件。



在整理作者的发帖纪录中，发现了他的真实姓名，和我们之前猜测的一样确实是叫罗林波。



而这个贴吧是”镇远三小“，根据前面手机归属地的信息推测作者应该是在贵州。通过搜索引擎获取到了“镇远三小”这所学院位于贵州省黔东南苗族侗族自治区镇远县舞阳镇和平街。

看会“完美工作室(C)制作QQ密码破解器”这款软件，它的分享时间是2015-04-01 13:14。应该是最新的，下载下来后杀软报毒，初步估计又是钓鱼软件。



我们接着对“完美工作室(C)制作QQ密码破解器”这款软件进行分析，看看能不能有什么新的突破。


完美工作室(C)制作QQ密码破解器.exe
Size: 774144 bytes
File Version: 1.0.0.0
Modified: 2015年4月1日, 12:57:33
MD5: 678710412E4CFDE5A5DD2FFFE2990CB9
SHA1: F5489A6A7FC93BF2F80EEE28CE0B6460B7F97B8E
CRC32: 13E900BF

通过查壳发现软件并没有加壳，是用易语言写的。



打开软件看了看，要使用这个软件还需要联系作者激活，应该是需要某个核心的DLL文件才能运作起来。

我技术还不够，挖掘不到别的信息了，仅仅认为这个软件主要的作用就诈骗。就是通过欺骗使用者联系作者获取所谓的“核心dll”这种方式来骗钱，而这个凭据主要是提取字符串中无论怎么跑都提示联系作者。



好吧，到这里我们已经差不多知道作者的基本信息了，就不再继续了。

a835223

我也有一点楼主的思路，读书的时候是一个心想读编程的，可惜没机会读大学，出来之后自己学了一点点，懂得不多，现在工作主要和一些陌生的QQ聊天，我会复制他们的QQ邮箱在REG007，看他们都注册了什么，去百度，拿到手机号码，在复制邮箱或者手机号码去支付宝转账，现在很多人玩支付宝财付通了，就提示了转给谁，只不过姓加密了，没关系，我能知道他的名字，然后QQ上装傻，你是不是很多年前的那个什么（他名字），然后逆袭了，他会很拼命的问我是不是什么前男友前女友，有点好玩！！

Myself_GF

楼主好厉害啊除了膜拜还是膜拜，有几个问题，作者注册了CSDN和新浪微博。是通过他的QQ邮箱知道的么 ？（姓名获取发现是一个叫*俊东的人，而这个Username的拼音组成的姓名随意测试了罗林波是比较常见的。继续挖掘信息，发现了作者的博客）姓名获取是怎么回事呢？还有为什么测试罗林波？又怎么发现作者的博客呢看了楼主的分析就像看了一部悬疑片，小白的我想知道

璀璨哥520

继续更   继续更

一生情独醉

这种东西确定能用？

屌丝逆女神合

二楼说的好

佳人舞动琴声媚

继续更。

t2st

一生情独醉 发表于 2015-11-16 19:06
这种东西确定能用？

其实这种不能用，作者弄这个软件仅仅用来钓鱼，可以说软件在实际用途来说并没有什么实际意义。

t2st

屌丝逆女神合 发表于 2015-11-16 19:07
二楼说的好

就一个钓鱼程序，对于不知情的人，输了正确的账号密码，作者就会收到有账号密码的邮件。

战地记者丶

继续啊。楼主

t2st

璀璨哥520 发表于 2015-11-16 19:02
继续更   继续更

谢谢支持

小小欣

大神  绝对的大神