用户
搜索

QQ群邮件木马变种分析

2019-1-21 10:19| 发布者: 桃子Tz| 查看: 59| 评论: 0|原作者: MUSYIDA

群邮件木马变种


0x0 故事


前几天,i春秋作家团的dalao已经对“加速器”系列QQPass进行了分析,可见原帖:https://bbs.ichunqiu.com/thread-49535-1-1.html

但是,该木马作者又继续对该木马进行升级,来提高木马的能力。我从群邮件中捕获到了最新变种木马,下面,对该木马进行分析。


0x1 分析




我在发稿时,显示的是前天上传的蓝奏云盘,说明样本很新。

但是,找到之前的链接后,木马作者取消了分析。



但是,我问了dalao拿到了样本,对比一下md5和修改时间,发现并不是同一个,说明该木马为变种木马。



目前已有多款杀软支持查杀和拦截。

[zxsq-anti-bbcode-/hide]


0x2 逆向


[zxsq-anti-bbcode-hide]查壳发现他根本就没加壳,心也是够大。



既然没加壳就IDA载入。搜索字符串“QQ”。相比之下,我这个样本要容易分析多了。



可以看到,木马想通过这种方式获取QQclientkey,先暂且不说是否成功,我们继续往下看。



又对特定网址进行通信,但是我使用了“360云沙箱”,“微步云沙箱”,“虚拟机”,“实机”,仍不能对其进行通信,可以说可能是挂掉了。还有其他网址,我对其进行连接,也失败了......说明作者的服务质量不太好呀。



作者的网站已经连不上了......



又对steam这款“勒索软件”下手了,难道不考虑G胖的感受吗?



在木马中发现Steam.exe字符串



应该是对Steam进行某种特殊的动作,我运行之后发现,原来是......



查找特定窗口,也就是说查找了Steam.exe的窗口



尝试注入该进程svchost.exe。



开始疯狂地读取文件和注入进程。



加载全局HOOK(钩子)WH_CBT - SetWindowsHook。使用键盘模拟用户操作。





释放了几个易语言的支持库。



在内网玩数据包传递(根本就没发出去)


0x3 总结


首先我要给这个作者一个差评,为什么要写这么烂的一个木马,使得它不能传数据包?只要不要使用来路不明的软件就应该不会中招的。


[/hide]
鲜花
鲜花
握手
握手
雷人
雷人
路过
路过
鸡蛋
鸡蛋