用户
搜索
  • TA的每日心情
    开心
    2018-7-27 14:34
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    10

    主题

    33

    帖子

    205

    魔法币
    收听
    0
    粉丝
    3
    注册时间
    2018-5-26

    i春秋签约作者

    发表于 2019-1-19 17:11:35 223203

    群邮件木马变种

    0x0 故事

    前几天,i春秋作家团的dalao已经对“加速器”系列QQPass进行了分析,可见原帖:https://bbs.ichunqiu.com/thread-49535-1-1.html
    但是,该木马作者又继续对该木马进行升级,来提高木马的能力。我从群邮件中捕获到了最新变种木马,下面,对该木马进行分析。

    0x1 分析


    我在发稿时,显示的是前天上传的蓝奏云盘,说明样本很新。
    但是,找到之前的链接后,木马作者取消了分析。

    但是,我问了dalao拿到了样本,对比一下md5和修改时间,发现并不是同一个,说明该木马为变种木马。

    目前已有多款杀软支持查杀和拦截。
    [/hide]

    0x2 逆向

    [hide]查壳发现他根本就没加壳,心也是够大。

    既然没加壳就IDA载入。搜索字符串“QQ”。相比之下,我这个样本要容易分析多了。

    可以看到,木马想通过这种方式获取QQclientkey,先暂且不说是否成功,我们继续往下看。

    又对特定网址进行通信,但是我使用了“360云沙箱”,“微步云沙箱”,“虚拟机”,“实机”,仍不能对其进行通信,可以说可能是挂掉了。还有其他网址,我对其进行连接,也失败了......说明作者的服务质量不太好呀。

    作者的网站已经连不上了......

    又对steam这款“勒索软件”下手了,难道不考虑G胖的感受吗?

    在木马中发现Steam.exe字符串

    应该是对Steam进行某种特殊的动作,我运行之后发现,原来是......

    查找特定窗口,也就是说查找了Steam.exe的窗口

    尝试注入该进程svchost.exe。

    开始疯狂地读取文件和注入进程。

    加载全局HOOK(钩子)WH_CBT - SetWindowsHook。使用键盘模拟用户操作。


    释放了几个易语言的支持库。

    在内网玩数据包传递(根本就没发出去)

    0x3 总结

    首先我要给这个作者一个差评,为什么要写这么烂的一个木马,使得它不能传数据包?只要不要使用来路不明的软件就应该不会中招的。

    [/hide]
    你真是大佬
    使用道具 举报 回复
    再有一些动静态调试就更好了
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册