• 欢迎访问爱玩吧
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏爱玩吧

【教程】关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)

教程资源 aiwanyule 6年前 (2016-05-10) 928次浏览 已收录 1个评论

关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)

本文为初步分析报告,现已经移交给腾讯逆向工程师处理。新思路盗QQ可以借鉴。

QQProtect-下载者,QQNews-这个没分析,rasman-盗号核心个文件件本站下载地址:点击下载

QQProtect-下载者,QQNews-这个没分析,rasman-盗号核心个文件件本站下载地址:点击下载

具体现象部分网吧发现QQ木马盗号的现象,主要是体现着以下几点:

1、木马执行不规律,木马行为与策略相关联。
2、就了解到的情况来看,感染QQ2013为主。

3、破坏QQ文件,全局dll注入。修改微软官方模块rasman.dll,使系统指向假的rasman.dll,执行完病毒代码之后再指向真的rasmanorg.dll。
4、QQ被破坏,按登录键进程直接退出。

相关文件

暂时查到病毒下载器为C:\windows\debug\QQprotect.exe
病毒主体应该是:C:\programfiles\intel\随机数.exe
被感染的文件;C:\windows\system32\rasman.dll   QQPath\bin\qq.exe
父进程据报告极有可能是:Flash_ActiveX.exe2013年 顺网爆发过相关漏洞

环境

多种网吧计费,游戏更新环境。共同点使用P某in系统。

详细分析

一、QQprotect.exe 分析
病毒爆发时间十月7号至十月11号下午;客户机执行Hips工具时病毒不执行;11号下午病毒策略下载网站突然无法打开。
按照进程排除的办法,确定病毒文件为QQprotect.exe,提取出本文件在纯净的虚拟机中执行,发现QQ进程在几分到几十分钟左右掉线。之后QQ文件被恶意篡改,登录QQ的时候QQ直接崩溃。与客户反馈的症状相符。
1、脱UPX壳,利用OD打开QQprotect程序进行跟踪,首先程序判断自身是否在C:\windows\Debug目录下,如果不再复制自身然后进行自删除。 (图1)
【教程】关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)
图1
然后退出进程运行复制之后的程序。
2、继续执行下去,到如下函数。进入该函数,发现程序下载了一个log文件。(图2)
【教程】关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)
图2 配置文件下载CALL
进入该函数发现,系统从http://v.5youka.com/tj/list.jpg 下载到系统的C:\windows\debug\PASSWDS.LOG中。 (图3)
【教程】关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)
图3
由于11号下午病毒突然不执行,策略文件无从得到,后面的所以与策略文件有关的判断及跳转均为笔者模拟的病毒行为。
3、下载完成之后,系统开始读取配置文件内容,并且通过配置文件中的内容进行解析。
4、病毒根据配置文件的信息,在C:\Program Files\inter下载生成了一个随机数的exe。(图4、
5)
【教程】关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)
图4 构造文件目录
【教程】关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)
图5 生成随机exe路径
由于配置文件缺失,该exe文件没有下载成功。但是几乎可以确定是QQ木马。因为整个程序就下载过这一次exe程序。
5、之后,系统先检测某些进程是否执行,由于函数参数为空,笔者跟踪了一下,发现是配置文件中保存的(笔者没下载到策略文件,自己随便建立的空文件)。有可能是判断安全软件是否执行的函数。(图5)
二、rasman.dll 分析
文件大小及属性被篡改(如图6)
【教程】关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)
图 6
输出函数(EAT)被修改
【教程】关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)
OD分析Dll程序发现敏感盗号字符串 (图7)
【教程】关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)
图7 明显的收信机制
该函数在偏移0x340处,病毒发作的时候已经成功的注入到QQ的进程中,还不清楚该dll是如何盗取的QQ密码,但是此模块应该就是发信模块了,系统利用随机.exe下载了该dll,然后unmap一下这个dll,然后映射上自己的假DLL。注入腾讯之后获取腾讯的内存空间内容。
回溯追查了一下,发现是以线程的形式启动的,该函数处于 $+0x1480处。(图8)
【教程】关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)
回溯之后有了重大发现,可以确定该文件为仿造微软的盗号模块。下图为盗号木马的核心代码。(这个地址的代码完全可以提供盗号的新思路)
【教程】关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)
【教程】关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)
这里非常重要,直接loadLoginUI.dll后面我发现 他直接创建控件,也就是说把UI修改,输入的密码直接输入到他的文本框中。loadLoginUI中的导出函数是谁教他的,如何定义的是如何知道的?腾讯什么时候和微软合作了?
继续往下看,程序开始动态的写控件啦,如图:
【教程】关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)
作者竟然还做的日志 –!
【教程】关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)
作者在记录时间!
访问空间的时候,修改了内存的属性。

通过网络查询出来的结果

策略地址:http://v.5youka.com/tj/count.php 已经无法访问了
IDC:
【教程】关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)

总结

由于有特殊的保护机制,无法查出是哪个进程调用的该程序,启动较早,父进程可能随开机启动,无法排查。
解决方法如下:
方案1、Host跳转,禁止策略的获取。网址为:http://v.5youka.com
方案2、升级QQ到最新版本,发现这个病毒只支持QQ2013,尽量不用这种办法。
方案3、可以在禁止启动的进行的列表中增加C:\windows\debug\QQprotect.exe
注入微软DLL确实是一种特别强大的办法,然后利用注入到进程的空间模块,提升自身的权限,然后重写腾讯的控件。作者真是深思熟虑啊。

【教程】关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)

爱玩吧 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:【教程】关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)
喜欢 (7)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(1)个小伙伴在吐槽
  1. 作者思路明确,很有启发性,值得去学习。这么好的文章怎么没就没人关注呢?可惜了…
    夏川纯黑2016-10-22 20:24 回复 Linux | Safari浏览器 533.1