记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

一个QQ盗号木马初步分析

2013-04-30 23:55

技术示范: z8
样本: http://pan.baidu.com/share/link?shareid=496137&uk=704677280
解压密码: 233
扫描报告:
virustotal: https://www.virustotal.com/zh-cn ... 00213dcfa/analysis/
virusscan: http://r.virscan.org/ac65695fb4c8bd203c8d200cdebcfb1f
从扫描报告上看, 基本上过了主流杀软(当然, 神马贰佰伍+110啊, 淫山毒爹啊, 扣扣管渣啊啥的还是很敬业的);
既然说它是木马, 总得有个木马的尿性:
001.png
MD的行为分析上看, 并没有什么太多可疑操作, 运行后就是加载了一堆dll, 然后再Temp下建立了一个.tmp文件;
然后, 有个问题, 它运行后没有界面, 也没有命令行窗口, 这是当时唯一的疑点;
既然行为分析看不出什么, 那就只好按规矩来, 先上PEiD:
000.png
PECompact 2.x -> Jeremy Collake的壳, 没见过, 百度了下, 然后说可以ESP定律脱, 然后我就被忽悠了:
OD载入 -> 选否 -> F7两次 -> Ctrl+G到ESP位置 -> 下硬件访问断点 -> F9到断点处 -> 取消断点 -> 一路F8....
就差一步, 迷失在F8的海洋中, 没有看到彼岸的OEP;
----接下去的内容全是z8示范, 我旁观----
OD载入 -> F7到SE处理这:
002.png
Ctrl+G到0045C508:
0045C508 B8 8DB245F0 mov eax, F045B28D
0045C50D 8D88 9E120010 lea ecx, dword ptr [eax+1000129E]
然后得到地址: 1|0045C52B
Gtrl+G到0045C52B, 然后F2下断, F9运行到断点处, 一路F8到jmp eax然后F7进入到达OEP:
003.png
(稍微目测下这个OEP, 类似VS2008或者2010编译出来的东西)
dump出来后扔IDA目测以下这个流程:
004.png
005.png
if(eax==2) {粗来一个神奇的窗口;}
006.png
什么窗口等会再议, 现在回到OD上bp Sleep, bp SetTimer:
008.png
009.png
Sleep有个30秒的Alertable False时间, 然后后面的SetTimer, 每隔200ms或者300ms就干啥一次, 可能是遍历窗口句柄或者进程啥的, 不明觉厉;
然后, 假如运行着QQ, 那么就会关闭所有会话窗口, 最小化主界面, 然后弹出来这个神奇的窗口:
010.png
随便输个密码, 点登录会显示密码错误, 再输入再登录就会弹浏览器了:
011.png
QQ号和获取的密码以URL明文的方式传输;
从IP目测是美国的云主机, 3389可连, WVS扫只有个短文件名爆路径的漏洞:
012.png
谁人品好可以去试试3389的密码, 里面目测是大把大把的信封啊!!!
-------昏割线-------
接下来, 回过头看下一开始木马释放的.tmp文件:
013.png
从00000600的位置可以看到jpg|jpeg的文件头, WinHex截取出来就是下面这个图片:
~DF84199EB797A4F563.jpg
----
程序的某个亮点:
007.png
这个是显示盗版的"重新登录"窗口的部分, 从Hex-Rays插件上可以看出, 只有v23!=0的时候, 才会显示这个窗口;
但是, 从Xref上可以看到v23只被引用了一次, 就是一开始的赋值操作v23=0;
那么按理说, 这个"重新登录"窗口是不会显示的, 不过事实上它会显示;
这个原因么, 可能是前面记录Q号的数组溢出啥的造成的, Who TM care?
----
补:
dump后的扫描报告:
https://www.virustotal.com/zh-cn ... nalysis/1366979146/
http://r.virscan.org/report/5a3a0fe41ca2f9c6a34f23c980b4d09e.html
目测赛门铁克比较碉堡, 分析出来是哪种类型了;
另外, 我在XP SP3下dump出来在Win7 x64下不能运行,
目测可能是ASLR的原因: http://blog.csdn.net/ariesjzj/article/details/7191357

声明: 本文采用 CC BY-NC-SA 3.0 协议进行授权
转载请注明来源:Panni Security Team
本文链接地址:http://www.hackdig.com/?04/hack-3155.htm

知识来源: www.panni007.com/2013/04/29/915.html

阅读:141269 | 评论:0 | 标签:黑客攻防 QQ安全

想收藏或者和大家分享这篇好文章→复制链接地址

“一个QQ盗号木马初步分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云