压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

解密分析竊取QQ號的過程

責編:admin |2015-01-20 14:09:24

  部分網吧發現QQ木馬盜號的現象,主要是體現著以下幾點:

  1、木馬執行不規律,木馬行為與策略相關聯。

  2、就了解到的情況來看,感染QQ2013為主。

  3、破壞QQ文件,全局dll注入。修改微軟官方模塊rasman.dll,使系統指向假的rasman.dll,執行完病毒代碼之后再指向真的rasmanorg.dll。

  4、QQ被破壞,按登錄鍵進程直接退出。

  相關文件

  暫時查到病毒下載器為C:windowsdebugQQprotect.exe

  病毒主體應該是:C:programfilesintel隨機數.exe

  被感染的文件;C:windowssystem32
asman.dll   QQPathinqq.exe

  父進程據報告極有可能是:Flash_ActiveX.exe2013年 順網爆發過相關漏洞

  環境

  多種網吧計費,游戲更新環境。共同點使用P某in系統。

  詳細分析

  一、QQprotect.exe 分析

  病毒爆發時間十月7號至十月11號下午;客戶機執行Hips工具時病毒不執行;11號下午病毒策略下載網站突然無法打開。

  按照進程排除的辦法,確定病毒文件為QQprotect.exe,提取出本文件在純凈的虛擬機中執行,發現QQ進程在幾分到幾十分鐘左右掉線。之后QQ文件被惡意篡改,登錄QQ的時候QQ直接崩潰。與客戶反饋的癥狀相符。

  1、脫UPX殼,利用OD打開QQprotect程序進行跟蹤,首先程序判斷自身是否在C:windowsDebug目錄下,如果不再復制自身然后進行自刪除。 (圖1)

 解密分析竊取QQ號的過程

  圖1

  然后退出進程運行復制之后的程序。

  2、繼續執行下去,到如下函數。進入該函數,發現程序下載了一個log文件。(圖2)

  解密分析竊取QQ號的過程

  圖2 配置文件下載CALL

  進入該函數發現,系統從http://v.5youka.com/tj/list.jpg 下載到系統的C:windowsdebugPASSWDS.LOG中。 (圖3)

  解密分析竊取QQ號的過程

  圖3

  由于11號下午病毒突然不執行,策略文件無從得到,后面的所以與策略文件有關的判斷及跳轉均為筆者模擬的病毒行為。

  3、下載完成之后,系統開始讀取配置文件內容,并且通過配置文件中的內容進行解析。

  4、病毒根據配置文件的信息,在C:Program Filesinter下載生成了一個隨機數的exe。(圖4、

  5)

 解密分析竊取QQ號的過程

  圖4 構造文件目錄

  解密分析竊取QQ號的過程

  圖5 生成隨機exe路徑

  由于配置文件缺失,該exe文件沒有下載成功。但是幾乎可以確定是QQ木馬。因為整個程序就下載過這一次exe程序。

  5、之后,系統先檢測某些進程是否執行,由于函數參數為空,筆者跟蹤了一下,發現是配置文件中保存的(筆者沒下載到策略文件,自己隨便建立的空文件)。有可能是判斷安全軟件是否執行的函數。(圖5)

  二、rasman.dll 分析

  文件大小及屬性被篡改(如圖6)

  解密分析竊取QQ號的過程

  圖 6

  輸出函數(EAT)被修改

  解密分析竊取QQ號的過程

  OD分析Dll程序發現敏感盜號字符串 (圖7)

  解密分析竊取QQ號的過程

  圖7 明顯的收信機制

  該函數在偏移0x340 處,病毒發作的時候已經成功的注入到QQ的進程中,還不清楚該dll是如何盜取的QQ密碼,但是此模塊應該就是發信模塊了,系統利用隨機.exe下載了該 dll,然后unmap一下這個dll,然后映射上自己的假DLL。注入騰訊之后獲取騰訊的內存空間內容。

  回溯追查了一下,發現是以線程的形式啟動的,該函數處于 $+0x1480處。(圖8)

  解密分析竊取QQ號的過程

  回溯之后有了重大發現,可以確定該文件為仿造微軟的盜號模塊。下圖為盜號木馬的核心代碼。(這個地址的代碼完全可以提供盜號的新思路)

解密分析竊取QQ號的過程

  解密分析竊取QQ號的過程

  這里非常重要,直接loadLoginUI.dll后面我發現 他直接創建控件,也就是說把UI修改,輸入的密碼直接輸入到他的文本框中。loadLoginUI中的導出函數是誰教他的,如何定義的是如何知道的?騰訊什么時候和微軟合作了?

  繼續往下看,程序開始動態的寫控件啦,如圖:

  解密分析竊取QQ號的過程

  作者竟然還做的日志 –!

  解密分析竊取QQ號的過程

  作者在記錄時間!

  訪問空間的時候,修改了內存的屬性。

  通過網絡查詢出來的結果

  策略地址:http://v.5youka.com/tj/count.php 已經無法訪問了

  IDC:

  解密分析竊取QQ號的過程

  總結

  由于有特殊的保護機制,無法查出是哪個進程調用的該程序,啟動較早,父進程可能隨開機啟動,無法排查。

  解決方法如下:

  方案1、Host跳轉,禁止策略的獲取。網址為:http://v.5youka.com

  方案2、升級QQ到最新版本,發現這個病毒只支持QQ2013,盡量不用這種辦法。

  方案3、可以在禁止啟動的進行的列表中增加C:windowsdebugQQprotect.exe

  注入微軟DLL確實是一種特別強大的辦法,然后利用注入到進程的空間模塊,提升自身的權限,然后重寫騰訊的控件。

    文章來源:http://vmware51.blog.51cto.com/9851770/1605447

上一篇:安卓防火墻 PS DroidWall

下一篇:怎樣快速分析惡意代碼