QQ粘虫最新变种技术分析【XHQQ大盗】
QQ粘虫作案流程 一、干扰QQ正常运行,比如不停最小化窗口,禁用QQ窗口等,造成QQ掉线的假象;二、展示伪装QQ登录的钓鱼窗口,诱骗受害者输入QQ号和密码;三、将受害者输入的QQ密码数据传给盗号者;四、恢复QQ正常运行。 最新粘虫变种的代码与逻辑分析 进程启动,隐藏自身: 注册窗口,接收消息: 查找通过内存暴搜Msg3.0.db,在其之前,就是QQ号码 木马常用的方法,还有找OP标志位: 找ADUIN等,方法均大同小异,通过内存特征,定位到QQ号码: 之后查找任务栏,拿到handle备用 查找前台窗口,寻找类名称是TXGiFondation的窗口,这也是盗号木马中,找QQ窗口的通用方法。 检测到QQ窗口存在后,等待8秒钟,创建钓鱼使用的窗口: 钓鱼窗口使用到的资源: 在另一个线程中,向QQ发送最小化消息,之后显示木马窗口。木马作者之前使用的是WM_SHOWWINDOW和WM_HIDEWINDOW,最近改用MINIMIZE和EnableWindow的消息了。 EnableWindow消息 通过最小化QQ窗口,隐藏QQ窗口,禁用QQ窗口等方法影响QQ正常工作。客户端展示的木马钓鱼窗口: 在窗口的消息处理中,中招者无论第一次输入什么密码,均会提示密码错误,要求再次输入密码,两次输入的密码均会发给木马后台: 木马发信方式木马发信中,写死了收信的IP地址,114.215.203.191 来自:北京市创联万网国际信息技术有限公司 发信使用的WinSock标准的TCP连接发信的: 完成操作之后,注入calc进行自删除: 也有部分木马,使用COM接口,调用浏览器,打开本地文件的方式发信: 代码中可以看到,这是一个叫XH QQ大盗 Vip的木马:中招现象
防护措施360安全卫士“云主动防御”基于对QQ粘虫的全面追踪和深入分析,通过行为规则识别并拦截QQ粘虫木马家族,即便是最新出现的粘虫变种也可以全面拦截。转发来自:http://blog.sina.com.cn/s/blog_621a7f1b0102v1l2.html@980691659
我能说,我中过招么?而且样本我也分析了,只是没有分析的这么全 CracKingMe 发表于 2015-7-15 21:31
我能说,我中过招么?而且样本我也分析了,只是没有分析的这么全
求地址 优秀的分析GOOD。 自行看我发布过的源码! 分析的很详细啊楼主
[快捷回复]-感谢楼主热心分享! 楼主威武!!!!!!
页:
[1]
2