查看: 43792|回复: 264
收起左侧

[分享] 突破360主防和金山k+成功盗取qq密码.大家看看那一个主防能防.

  [复制链接]
yjwfdc
头像被屏蔽
发表于 2011-10-20 17:36:17 | 显示全部楼层 |阅读模式
本帖最后由 yjwfdc 于 2011-10-21 13:09 编辑

突破360主防和金山k+成功盗取qq密码.

这个样本区的病毒,突破了360主防和金山k+,以及qq的自保成功盗取qq密码.

由于360和金山都已经入库,所以测试方法是先运行病毒,再启动360或者金山,这个病毒没有加驱、插入其它系统程序等动作,所以不会影响主防的运行和拦截。



360 测试过程,
1。退出360安全卫士。
2。运行病毒。
3。运行360安全卫士。
4。运行qq
5。输入密码。
6。结果。如图请留意圈出的地方。


k+ 测试过程,
1。关闭金山毒霸边界防御,退出金山毒霸。
2。运行病毒。
3。运行金山毒霸。
4。运行qq
5。输入密码。
6。结果。如图请留意圈出的地方。



qq用了多种方法防御键盘记录盗取qq密码,被这个病毒突破了,不知道用的是什么方法?


样本地址
http://bbs.kafan.cn/thread-1110432-1-1.html


行为分析.

利用taskkill.exe程序杀QQ进程.
创建新进程   
进程: d:\病毒\我的相片_s\我的相片_s\我的相片_s.exe
目标: c:\windows\system32\taskkill.exe
命令行: taskkill /f /im QQ.exe
结束其他进程
进程: c:\windows\system32\taskkill.exe
目标: c:\program files\tencent\qq\bin\qq.exe

创建一个图片2011.jpg 并且打开
修改文件
进程: d:\病毒\我的相片_s\我的相片_s\我的相片_s.exe
目标: D:\病毒\我的相片_s\我的相片_s\2011.jpg

修改注册表,不清楚什么作用.
修改注册表值
进程: d:\病毒\我的相片_s\我的相片_s\我的相片_s.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Direct3D\MostRecentApplication\Name
值: 我的相片_s.exe

在后台等待用户启动QQ,发现QQ登陆窗后,向QQ不断发消息.
向其他进程发送消息
进程: d:\病毒\我的相片_s\我的相片_s\我的相片_s.exe
目标: c:\program files\tencent\qq\bin\qq.exe
消息: WM_GETTEXTLENGTH

用一个透明编辑框挡在QQ密码输入位置,拦截输密码.当用户输入完回车时,模拟键盘把QQ密码输入QQ的登框.
键盘操作   
进程: d:\病毒\我的相片_s\我的相片_s\我的相片_s.exe

利用IE把QQ账号密码发送出去,绕过防火墙.
向其他进程发送消息
进程: d:\病毒\我的相片_s\我的相片_s\我的相片_s.exe
目标: c:\program files\internet explorer\iexplore.exe
消息: WM_DDE_EXECUTE


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
strawman0719 + 1 楼主就该加RQ!!

查看全部评分

sugerkevin
发表于 2011-10-20 17:40:20 | 显示全部楼层
先回复,再来看
02223289680
发表于 2011-10-20 17:43:05 | 显示全部楼层
换安全防护板QQ试试
Tron
头像被屏蔽
发表于 2011-10-20 17:45:15 | 显示全部楼层
本帖最后由 Tron 于 2011-10-20 17:45 编辑

云QVM KILL,目前此类样本360云主防主要通过云QVM消灭~
yjwfdc
头像被屏蔽
 楼主| 发表于 2011-10-20 17:46:23 | 显示全部楼层
02223289680 发表于 2011-10-20 17:43
换安全防护板QQ试试

你说加驱的那个?上次安装不了.
iezhaoie
头像被屏蔽
发表于 2011-10-20 17:47:50 | 显示全部楼层
道高一尺魔高一丈
02223289680
发表于 2011-10-20 17:49:51 | 显示全部楼层
yjwfdc 发表于 2011-10-20 17:46
你说加驱的那个?上次安装不了.

试试看..要申请 这是新版本的
http://exp.qq.com/cgi-bin/presen ... e_flag=0&x=6540

看看QQ的驱动能否拦住盗Q木马
yjwfdc
头像被屏蔽
 楼主| 发表于 2011-10-20 17:51:10 | 显示全部楼层
Tron 发表于 2011-10-20 17:45
云QVM KILL,目前此类样本360云主防主要通过云QVM消灭~

金山k+也杀,

这类样本如果成功免杀这两家的云,也就成功了.
BHHZDQL
发表于 2011-10-20 17:56:37 | 显示全部楼层
1。退出360安全卫士。
2。运行病毒。
3。运行360安全卫士。
干嘛要退出呢?要测试主动防御也得关文件实时监控把?
Tron
头像被屏蔽
发表于 2011-10-20 17:56:54 | 显示全部楼层
yjwfdc 发表于 2011-10-20 17:51
金山k+也杀,

这类样本如果成功免杀这两家的云,也就成功了.

K+用低级哈希云来杀跟云QVM杀区别太大了。。

而且云端动态系统会快速收集这类样本,即使免杀也迅速失效。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 12:36 , Processed in 0.138865 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表