密碼鎖對決QQ大盜

看的出來，這款密碼盜取軟體針對目前國內外的主流桌面防火牆軟體作出了針對性的改進，且具有很高的隱蔽性，一旦運行了木馬的EXE，它就幾乎徹底隱藏了自己，就象廣告中說的一樣，無啟動項，無程序。常規的檢測工具要檢測它具有一定的難度，所以這款木馬生成器生成的木馬對於普通使用者來說具有相當大的殺傷力。


木馬分析


接下來我們來看看該木馬的工作流程：


木馬在獲得啟動執行後，就會將複製一個備份到C:Program FilesInternet ExplorerPLUGINS，並重命名為(其實這還是一個EXE檔案)並將其檔案屬性設為隱藏和系統然後在C:Program FilesInternet ExplorerPLUGINS釋放出(其實這是一個DLL檔案)。
這時候木馬會在系統登錄檔內註冊一個CLASSID

HKCRCLSID

並將該CLSID和C:Program FilesInternet 聯絡在一起。然後將該CLSID新增新增到登錄檔的ShellExecuteHooks下

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

=""

(老鳥這時候就會說了，原來它的無啟動項和特殊的執行緒插入技術就是這麼實現的啊…)

內含有鉤子WH_GETMESSAGE。

在木馬下完鉤子後，完成盜取QQ密碼的準備工作後就建立一個名為的批處理檔案，用於刪除木馬的EXE檔案和批處理自身.這樣它在系統中就是”無程序”了。

這裡有個插曲，木馬的作者會給分析人員一些留言，內容如下:

wodexiaoshihouchaonaorenxingdeshihou

waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang

tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai

由於我的國小拼音實在不怎麼樣，而且由於時間關係，所以這個內容留給感興趣的人來解讀吧。(沒有標點符號的文章實在很難讀啊)。

這時如果啟動QQ，通過ShellExecuteHooks，就會插入到QQ的程序空間中去了。

這時候木馬會在系統登錄檔內註冊一個CLASSID

HKCRCLSID

並將該CLSID和C:Program FilesInternet 聯絡在一起。然後將該CLSID新增新增到登錄檔的ShellExecuteHooks下

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

=""

(老鳥這時候就會說了，原來它的無啟動項和特殊的執行緒插入技術就是這麼實現的啊…)

內含有鉤子WH_GETMESSAGE。

在木馬下完鉤子後，完成盜取QQ密碼的準備工作後就建立一個名為的批處理檔案，用於刪除木馬的EXE檔案和批處理自身.這樣它在系統中就是”無程序”了。

這裡有個插曲，木馬的作者會給分析人員一些留言，內容如下:

wodexiaoshihouchaonaorenxingdeshihou

waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang

tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai

由於我的國小拼音實在不怎麼樣，而且由於時間關係，所以這個內容留給感興趣的人來解讀吧。(沒有標點符號的文章實在很難讀啊)。

這時如果啟動QQ，通過ShellExecuteHooks，就會插入到QQ的程序空間中去了。

根據我的使用經驗，能讓程序防護危險等級框拉到底的絕大多數都是木馬病毒等非正常程式了。

實驗需要，我們放過該木馬，允許它執行。


啟動QQ執行，並檢視其程序模組，可以看到，程序空間內已經無法注入到QQ的程序中去。看來，終截者對ShellExecuteHook方式的執行緒注入還是有防禦手段是非常成功有效的。既然不能注入到QQ程序空間中，那麼擷取密碼當然也就無從談起了。我們在檢視指定接收密碼的郵箱，裡面自然一無所獲。

就這樣一場QQ密碼的攻防戰就在使用者毫不知情的狀況中發生和結束了。

使用者唯一的線索大概就要到關閉QQ時，檢視詳細資訊時才能從模組資訊列表中看到木馬曾經來過的蛛絲馬跡。