解密分析窃取QQ号的过程

  部分网吧发现QQ木马盗号的现象,主要是体现着以下几点:

  1、木马执行不规律,木马行为与策略相关联。

  2、就了解到的情况来看,感染QQ2013为主。

  3、破坏QQ文件,全局dll注入。修改微软官方模块rasman.dll,使系统指向假的rasman.dll,执行完病毒代码之后再指向真的rasmanorg.dll。

  4、QQ被破坏,按登录键进程直接退出。

  相关文件

  暂时查到病毒下载器为C:windowsdebugQQprotect.exe

  病毒主体应该是:C:programfilesintel随机数.exe

  被感染的文件;C:windowssystem32
asman.dll   QQPathinqq.exe

  父进程据报告极有可能是:Flash_ActiveX.exe2013年 顺网爆发过相关漏洞

  环境

  多种网吧计费,游戏更新环境。共同点使用P某in系统。

  详细分析

  一、QQprotect.exe 分析

  病毒爆发时间十月7号至十月11号下午;客户机执行Hips工具时病毒不执行;11号下午病毒策略下载网站突然无法打开。

  按照进程排除的办法,确定病毒文件为QQprotect.exe,提取出本文件在纯净的虚拟机中执行,发现QQ进程在几分到几十分钟左右掉线。之后QQ文件被恶意篡改,登录QQ的时候QQ直接崩溃。与客户反馈的症状相符。

  1、脱UPX壳,利用OD打开QQprotect程序进行跟踪,首先程序判断自身是否在C:windowsDebug目录下,如果不再复制自身然后进行自删除。 (图1)

 解密分析窃取QQ号的过程

  图1

  然后退出进程运行复制之后的程序。

  2、继续执行下去,到如下函数。进入该函数,发现程序下载了一个log文件。(图2)

  解密分析窃取QQ号的过程

  图2 配置文件下载CALL

  进入该函数发现,系统从http://v.5youka.com/tj/list.jpg 下载到系统的C:windowsdebugPASSWDS.LOG中。 (图3)

  解密分析窃取QQ号的过程

  图3

  由于11号下午病毒突然不执行,策略文件无从得到,后面的所以与策略文件有关的判断及跳转均为笔者模拟的病毒行为。

  3、下载完成之后,系统开始读取配置文件内容,并且通过配置文件中的内容进行解析。

  4、病毒根据配置文件的信息,在C:Program Filesinter下载生成了一个随机数的exe。(图4、

  5)

 解密分析窃取QQ号的过程

  图4 构造文件目录

  解密分析窃取QQ号的过程

  图5 生成随机exe路径

  由于配置文件缺失,该exe文件没有下载成功。但是几乎可以确定是QQ木马。因为整个程序就下载过这一次exe程序。

  5、之后,系统先检测某些进程是否执行,由于函数参数为空,笔者跟踪了一下,发现是配置文件中保存的(笔者没下载到策略文件,自己随便建立的空文件)。有可能是判断安全软件是否执行的函数。(图5)

  二、rasman.dll 分析

  文件大小及属性被篡改(如图6)

  解密分析窃取QQ号的过程

  图 6

  输出函数(EAT)被修改

  解密分析窃取QQ号的过程

  OD分析Dll程序发现敏感盗号字符串 (图7)

  解密分析窃取QQ号的过程

  图7 明显的收信机制

  该函数在偏移0x340 处,病毒发作的时候已经成功的注入到QQ的进程中,还不清楚该dll是如何盗取的QQ密码,但是此模块应该就是发信模块了,系统利用随机.exe下载了该 dll,然后unmap一下这个dll,然后映射上自己的假DLL。注入腾讯之后获取腾讯的内存空间内容。

  回溯追查了一下,发现是以线程的形式启动的,该函数处于 $+0x1480处。(图8)

  解密分析窃取QQ号的过程

  回溯之后有了重大发现,可以确定该文件为仿造微软的盗号模块。下图为盗号木马的核心代码。(这个地址的代码完全可以提供盗号的新思路)

解密分析窃取QQ号的过程

  解密分析窃取QQ号的过程

  这里非常重要,直接loadLoginUI.dll后面我发现 他直接创建控件,也就是说把UI修改,输入的密码直接输入到他的文本框中。loadLoginUI中的导出函数是谁教他的,如何定义的是如何知道的?腾讯什么时候和微软合作了?

  继续往下看,程序开始动态的写控件啦,如图:

  解密分析窃取QQ号的过程

  作者竟然还做的日志 –!

  解密分析窃取QQ号的过程

  作者在记录时间!

  访问空间的时候,修改了内存的属性。

  通过网络查询出来的结果

  策略地址:http://v.5youka.com/tj/count.php 已经无法访问了

  IDC:

  解密分析窃取QQ号的过程

  总结

  由于有特殊的保护机制,无法查出是哪个进程调用的该程序,启动较早,父进程可能随开机启动,无法排查。

  解决方法如下:

  方案1、Host跳转,禁止策略的获取。网址为:http://v.5youka.com

  方案2、升级QQ到最新版本,发现这个病毒只支持QQ2013,尽量不用这种办法。

  方案3、可以在禁止启动的进行的列表中增加C:windowsdebugQQprotect.exe

  注入微软DLL确实是一种特别强大的办法,然后利用注入到进程的空间模块,提升自身的权限,然后重写腾讯的控件。

    文章来源:http://vmware51.blog.51cto.com/9851770/1605447

上一篇:安卓防火墙 PS DroidWall

下一篇:怎样快速分析恶意代码