先讓我們來看看這款木馬的介紹。
目前為止,最牛X的QQ木馬。可以獲取使用者Q幣數量、遊戲幣數量、QQ積分、QQ遊戲點等資訊。完美破解QQ2006鍵盤保護,密碼框不會出現紅叉叉, 所有版本QQ通殺,包括最新的QQ2006 Beta2。採用特殊的執行緒插入技術,無啟動項,無程序, 突破各類防火牆(如:天網、卡巴、瑞星、金山網鏢、江民……)。採用同類QQ木馬當中,絕對領先的技術,準確獲取QQ密碼,絕無偏差。使用者登陸成功後再發信,從而杜絕重複發信、密碼錯誤發信情況,不在收取重複信件,提高軟體工作效率立即刪除自身,讓木馬不留痕跡。具有定時關閉QQ和防重複執行的功能!下面是截圖:
看的出來,這款密碼盜取軟體針對目前國內外的主流桌面防火牆軟體作出了針對性的改進,且具有很高的隱蔽性,一旦運行了木馬的EXE,它就幾乎徹底隱藏了自己,就象廣告中說的一樣,無啟動項,無程序。常規的檢測工具要檢測它具有一定的難度,所以這款木馬生成器生成的木馬對於普通使用者來說具有相當大的殺傷力。
木馬分析
接下來我們來看看該木馬的工作流程:
木馬在獲得啟動執行後,就會將複製一個備份到C:Program FilesInternet ExplorerPLUGINS,並重命名為(其實這還是一個EXE檔案)並將其檔案屬性設為隱藏和系統然後在C:Program FilesInternet ExplorerPLUGINS釋放出(其實這是一個DLL檔案)。
這時候木馬會在系統登錄檔內註冊一個CLASSID
HKCRCLSID
並將該CLSID和C:Program FilesInternet 聯絡在一起。然後將該CLSID新增新增到登錄檔的ShellExecuteHooks下
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
=""
(老鳥這時候就會說了,原來它的無啟動項和特殊的執行緒插入技術就是這麼實現的啊…)
內含有鉤子WH_GETMESSAGE。
在木馬下完鉤子後,完成盜取QQ密碼的準備工作後就建立一個名為的批處理檔案,用於刪除木馬的EXE檔案和批處理自身.這樣它在系統中就是”無程序”了。
這裡有個插曲,木馬的作者會給分析人員一些留言,內容如下:
wodexiaoshihouchaonaorenxingdeshihou
waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang
tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai
由於我的國小拼音實在不怎麼樣,而且由於時間關係,所以這個內容留給感興趣的人來解讀吧。(沒有標點符號的文章實在很難讀啊)。
這時如果啟動QQ,通過ShellExecuteHooks,就會插入到QQ的程序空間中去了。
這時候木馬會在系統登錄檔內註冊一個CLASSID
HKCRCLSID
並將該CLSID和C:Program FilesInternet 聯絡在一起。然後將該CLSID新增新增到登錄檔的ShellExecuteHooks下
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
=""
(老鳥這時候就會說了,原來它的無啟動項和特殊的執行緒插入技術就是這麼實現的啊…)
內含有鉤子WH_GETMESSAGE。
在木馬下完鉤子後,完成盜取QQ密碼的準備工作後就建立一個名為的批處理檔案,用於刪除木馬的EXE檔案和批處理自身.這樣它在系統中就是”無程序”了。
這裡有個插曲,木馬的作者會給分析人員一些留言,內容如下:
wodexiaoshihouchaonaorenxingdeshihou
waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang
tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai
由於我的國小拼音實在不怎麼樣,而且由於時間關係,所以這個內容留給感興趣的人來解讀吧。(沒有標點符號的文章實在很難讀啊)。
這時如果啟動QQ,通過ShellExecuteHooks,就會插入到QQ的程序空間中去了。
根據我的使用經驗,能讓程序防護危險等級框拉到底的絕大多數都是木馬病毒等非正常程式了。
實驗需要,我們放過該木馬,允許它執行。
啟動QQ執行,並檢視其程序模組,可以看到,程序空間內已經無法注入到QQ的程序中去。看來,終截者對ShellExecuteHook方式的執行緒注入還是有防禦手段是非常成功有效的。既然不能注入到QQ程序空間中,那麼擷取密碼當然也就無從談起了。我們在檢視指定接收密碼的郵箱,裡面自然一無所獲。
就這樣一場QQ密碼的攻防戰就在使用者毫不知情的狀況中發生和結束了。
使用者唯一的線索大概就要到關閉QQ時,檢視詳細資訊時才能從模組資訊列表中看到木馬曾經來過的蛛絲馬跡。
各位看官看到這,相比結果已經明瞭了,接下來就是打掃戰場的工作了。從前面的木馬分析中可以看到,木馬殘留在系統中有兩個檔案
C:Program FilesInternet
C:Program FilesInternet
所以使用者要做的事情就是刪除這兩個檔案。但還在其他程序中執行,此時是不能刪除的。
這時候,終截者的另一大特色功能就能派上用處了。
點選後重啟,就執行到一個絕對純淨的環境中(不要將其等同於系統的安全模式)在這裡你就能很輕易地刪除上述兩個木馬檔案了。至此,木馬清理完畢。
結束語
這次終截者遭遇的對手是利用ShellExecuteHook技術進行密碼盜取的木馬。看的出來,終截者的研發人員針對這種技術提供了有效的防禦方案,所以才能輕鬆獲勝。據我所知,這在同類軟體中能做到的並不多,可以說是寥寥無己。而且終截者的能力遠不止於此,那麼終截者的下一個對手會是誰呢?