看的出來,這款密碼盜取軟件針對目前國內(nèi)外的主流桌面防火墻軟件作出了針對性的改進(jìn),且具有很高的隱蔽性,一旦運(yùn)行了木馬的EXE,它就幾乎徹底隱藏了自己,就象廣告中說的一樣,無啟動項(xiàng),無進(jìn)程。常規(guī)的檢測工具要檢測它具有一定的難度,所以這款木馬生成器生成的木馬對于普通用戶來說具有相當(dāng)大的殺傷力。
木馬分析
接下來我們來看看該木馬的工作流程:
木馬在獲得啟動運(yùn)行后,就會將復(fù)制一個備份到C:Program FilesInternet ExplorerPLUGINS,并重命名為qn911.dll(其實(shí)這還是一個EXE文件)并將其文件屬性設(shè)為隱藏和系統(tǒng)然后在C:Program FilesInternet ExplorerPLUGINS釋放出qn911.sys(其實(shí)這是一個DLL文件)。
這時候木馬會在系統(tǒng)注冊表內(nèi)注冊一個CLASSID
HKCRCLSID
并將該CLSID和C:Program FilesInternet ExplorerPLUGINSqn911.sys聯(lián)系在一起。然后將該CLSID添加添加到注冊表的ShellExecuteHooks下
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
=""
(老鳥這時候就會說了,原來它的無啟動項(xiàng)和特殊的線程插入技術(shù)就是這么實(shí)現(xiàn)的啊…)
Qn911.sys內(nèi)含有鉤子WH_GETMESSAGE。
在木馬下完鉤子后,完成盜取QQ密碼的準(zhǔn)備工作后就創(chuàng)建一個名為MicroSoft.bat的批處理文件,用于刪除木馬的EXE文件和批處理自身.這樣它在系統(tǒng)中就是”無進(jìn)程”了。
這里有個插曲,木馬的作者會給分析人員一些留言,內(nèi)容如下:
wodexiaoshihouchaonaorenxingdeshihou
waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang
tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai
由于我的小學(xué)拼音實(shí)在不怎么樣,而且由于時間關(guān)系,所以這個內(nèi)容留給感興趣的人來解讀吧。(沒有標(biāo)點(diǎn)符號的文章實(shí)在很難讀啊)。
這時如果啟動QQ,通過ShellExecuteHooks,qn911.sys就會插入到QQ的進(jìn)程空間中去了。
這時候木馬會在系統(tǒng)注冊表內(nèi)注冊一個CLASSID
HKCRCLSID
并將該CLSID和C:Program FilesInternet ExplorerPLUGINSqn911.sys聯(lián)系在一起。然后將該CLSID添加添加到注冊表的ShellExecuteHooks下
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
=""
(老鳥這時候就會說了,原來它的無啟動項(xiàng)和特殊的線程插入技術(shù)就是這么實(shí)現(xiàn)的啊…)
Qn911.sys內(nèi)含有鉤子WH_GETMESSAGE。
在木馬下完鉤子后,完成盜取QQ密碼的準(zhǔn)備工作后就創(chuàng)建一個名為MicroSoft.bat的批處理文件,用于刪除木馬的EXE文件和批處理自身.這樣它在系統(tǒng)中就是”無進(jìn)程”了。
這里有個插曲,木馬的作者會給分析人員一些留言,內(nèi)容如下:
wodexiaoshihouchaonaorenxingdeshihou
waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang
tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai
由于我的小學(xué)拼音實(shí)在不怎么樣,而且由于時間關(guān)系,所以這個內(nèi)容留給感興趣的人來解讀吧。(沒有標(biāo)點(diǎn)符號的文章實(shí)在很難讀啊)。
這時如果啟動QQ,通過ShellExecuteHooks,qn911.sys就會插入到QQ的進(jìn)程空間中去了。
根據(jù)我的使用經(jīng)驗(yàn),能讓進(jìn)程防護(hù)危險(xiǎn)等級框拉到底的絕大多數(shù)都是木馬病毒等非正常程序了。
實(shí)驗(yàn)需要,我們放過該木馬,允許它運(yùn)行。
啟動QQ運(yùn)行,并查看其進(jìn)程模塊,可以看到,進(jìn)程空間內(nèi)qn911.sys已經(jīng)無法注入到QQ的進(jìn)程中去?磥恚K截者對ShellExecuteHook方式的線程注入還是有防御手段是非常成功有效的。既然qn911.sys不能注入到QQ進(jìn)程空間中,那么截取密碼當(dāng)然也就無從談起了。我們在查看指定接收密碼的郵箱,里面自然一無所獲。
就這樣一場QQ密碼的攻防戰(zhàn)就在用戶毫不知情的狀況中發(fā)生和結(jié)束了。
用戶唯一的線索大概就要到關(guān)閉QQ時,查看詳細(xì)信息時才能從模塊信息列表中看到木馬曾經(jīng)來過的蛛絲馬跡。
關(guān)于騰牛 | 聯(lián)系方式 | 發(fā)展歷程 | 版權(quán)聲明 | 下載幫助(?) | 廣告聯(lián)系 | 網(wǎng)站地圖 | 友情鏈接
Copyright 2005-2018 QQTN.com 【騰牛網(wǎng)】 版權(quán)所有 鄂ICP備17010784號-1 | 鄂公網(wǎng)安備 42011102000245號
聲明: 本站非騰訊QQ官方網(wǎng)站 所有軟件和文章來自互聯(lián)網(wǎng) 如有異議 請與本站聯(lián)系 本站為非贏利性網(wǎng)站 不接受任何贊助和廣告