密码锁对决QQ大盗
先让我们来看看这款木马的介绍。
目前为止,最牛X的QQ木马。可以获取用户Q币数量、游戏币数量、QQ积分、QQ游戏点等信息。完美破解QQ2006键盘保护,密码框不会出现红叉叉, 所有版本QQ通杀,包括最新的QQ2006 Beta2。采用特殊的线程插入技术,无启动项,无进程, 突破各类防火墙(如:天网、卡巴、瑞星、金山网镖、江民……)。采用同类QQ木马当中,绝对领先的技术,准确获取QQ密码,绝无偏差。用户登陆成功后再发信,从而杜绝重复发信、密码错误发信情况,不在收取重复信件,提高软件工作效率立即删除自身,让木马不留痕迹。具有定时关闭QQ和防重复运行的功能!下面是截图:
看的出来,这款密码盗取软件针对目前国内外的主流桌面防火墙软件作出了针对性的改进,且具有很高的隐蔽性,一旦运行了木马的EXE,它就几乎彻底隐藏了自己,就象广告中说的一样,无启动项,无进程。常规的检测工具要检测它具有一定的难度,所以这款木马生成器生成的木马对于普通用户来说具有相当大的杀伤力。
木马分析
接下来我们来看看该木马的工作流程:
木马在获得启动运行后,就会将复制一个备份到C:Program FilesInternet ExplorerPLUGINS,并重命名为(其实这还是一个EXE文件)并将其文件属性设为隐藏和系统然后在C:Program FilesInternet ExplorerPLUGINS释放出(其实这是一个DLL文件)。
这时候木马会在系统注册表内注册一个CLASSID
HKCRCLSID
并将该CLSID和C:Program FilesInternet 联系在一起。然后将该CLSID添加添加到注册表的ShellExecuteHooks下
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
=""
(老鸟这时候就会说了,原来它的无启动项和特殊的线程插入技术就是这么实现的啊…)
内含有钩子WH_GETMESSAGE。
在木马下完钩子后,完成盗取QQ密码的准备工作后就创建一个名为的批处理文件,用于删除木马的EXE文件和批处理自身.这样它在系统中就是”无进程”了。
这里有个插曲,木马的作者会给分析人员一些留言,内容如下:
wodexiaoshihouchaonaorenxingdeshihou
waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang
tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai
由于我的小学拼音实在不怎么样,而且由于时间关系,所以这个内容留给感兴趣的人来解读吧。(没有标点符号的文章实在很难读啊)。
这时如果启动QQ,通过ShellExecuteHooks,就会插入到QQ的进程空间中去了。
这时候木马会在系统注册表内注册一个CLASSID
HKCRCLSID
并将该CLSID和C:Program FilesInternet 联系在一起。然后将该CLSID添加添加到注册表的ShellExecuteHooks下
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
=""
(老鸟这时候就会说了,原来它的无启动项和特殊的线程插入技术就是这么实现的啊…)
内含有钩子WH_GETMESSAGE。
在木马下完钩子后,完成盗取QQ密码的准备工作后就创建一个名为的批处理文件,用于删除木马的EXE文件和批处理自身.这样它在系统中就是”无进程”了。
这里有个插曲,木马的作者会给分析人员一些留言,内容如下:
wodexiaoshihouchaonaorenxingdeshihou
waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang
tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai
由于我的小学拼音实在不怎么样,而且由于时间关系,所以这个内容留给感兴趣的人来解读吧。(没有标点符号的文章实在很难读啊)。
这时如果启动QQ,通过ShellExecuteHooks,就会插入到QQ的进程空间中去了。
根据我的使用经验,能让进程防护危险等级框拉到底的绝大多数都是木马病毒等非正常程序了。
实验需要,我们放过该木马,允许它运行。
启动QQ运行,并查看其进程模块,可以看到,进程空间内已经无法注入到QQ的进程中去。看来,终截者对ShellExecuteHook方式的线程注入还是有防御手段是非常成功有效的。既然不能注入到QQ进程空间中,那么截取密码当然也就无从谈起了。我们在查看指定接收密码的邮箱,里面自然一无所获。
就这样一场QQ密码的攻防战就在用户毫不知情的状况中发生和结束了。
用户唯一的线索大概就要到关闭QQ时,查看详细信息时才能从模块信息列表中看到木马曾经来过的蛛丝马迹。
各位看官看到这,相比结果已经明了了,接下来就是打扫战场的工作了。从前面的木马分析中可以看到,木马残留在系统中有两个文件
C:Program FilesInternet
C:Program FilesInternet
所以用户要做的事情就是删除这两个文件。但还在其他进程中运行,此时是不能删除的。
这时候,终截者的另一大特色功能就能派上用处了。
点击后重启,就运行到一个绝对纯净的环境中(不要将其等同于系统的安全模式)在这里你就能很轻易地删除上述两个木马文件了。至此,木马清理完毕。
结束语
这次终截者遭遇的对手是利用ShellExecuteHook技术进行密码盗取的木马。看的出来,终截者的研发人员针对这种技术提供了有效的防御方案,所以才能轻松获胜。据我所知,这在同类软件中能做到的并不多,可以说是寥寥无己。而且终截者的能力远不止于此,那么终截者的下一个对手会是谁呢?
-
抖音密友时刻是所有好友可见吗?抖音密友时刻会暴露相册吗?
我们在玩抖音的时候是不是经常会看见上面显示一个密友时刻,也就是说大家可以随时随地分享自己的趣事,不过也有的人不清楚抖音密友时刻是不是好友都可以看见,还是只有互相发的人看见呢?抖音密友时刻是所有好友可见吗?抖音密友时刻不是所有好友可见,其功能是用户在好友...
-
小鸡宝宝考考你:为什么生吃黄瓜时有一种发涩的口感?
支付宝庄园小课堂5月11日的问题是,小鸡宝宝考考你:为什么生吃黄瓜时有一种发涩的口感?如果你不清楚,可以看看文中的介绍。2024年蚂蚁庄园5月11日庄园小课堂答案今天的问题是:小鸡宝宝考考你:为什么生吃黄瓜时有一种发涩的口感?答案是:特殊成分所致答案解析:黄瓜的涩味...
-
拼多多700元助力需要多少人?拼多多700元助力元宝过后是什么?
拼多多现金大转盘大家都有试过没有,近日很多小伙伴都在砍价700的那个,拉了几十个人了还没有成功,就有人质疑拼多多700元助力是真的吗?是不是骗人的呢?下面就一起来看看吧。拼多多700元助力需要多少人?700助力成功的话具体拉多少人是不定的,有的小伙伴拉了30多个人就成...
-
蛋仔派对微博联动皮肤怎么领取?蛋仔派对微博联动皮肤领取攻略
蛋仔派对微博联动外观来咯,大眼仔的颜值还是很高的,而且要求也很简单,大家只需要在蛋仔派对超话连续签到三天就可以获得了,下面就和小编一起来看看蛋仔派对微博联动皮肤的相关信息。蛋仔派对微博联动皮肤怎么领取?蛋仔派对可以领大眼仔联动外观啦!大家快点来蛋仔超话...