突破360主防和金山k+成功盗取qq密码.大家看看那一个主防能防.

yjwfdc

突破360主防和金山k+成功盗取qq密码.

这个样本区的病毒,突破了360主防和金山k+,以及qq的自保成功盗取qq密码.

由于360和金山都已经入库,所以测试方法是先运行病毒,再启动360或者金山,这个病毒没有加驱、插入其它系统程序等动作，所以不会影响主防的运行和拦截。



360 测试过程，
1。退出360安全卫士。
2。运行病毒。
3。运行360安全卫士。
4。运行qq
5。输入密码。
6。结果。如图请留意圈出的地方。


k+ 测试过程，
1。关闭金山毒霸边界防御，退出金山毒霸。
2。运行病毒。
3。运行金山毒霸。
4。运行qq
5。输入密码。
6。结果。如图请留意圈出的地方。



qq用了多种方法防御键盘记录盗取qq密码，被这个病毒突破了，不知道用的是什么方法？


样本地址
http://bbs.kafan.cn/thread-1110432-1-1.html


行为分析.

利用taskkill.exe程序杀QQ进程.

创建新进程   
进程: d:\病毒\我的相片_s\我的相片_s\我的相片_s.exe
目标: c:\windows\system32\taskkill.exe
命令行: taskkill /f /im QQ.exe

结束其他进程
进程: c:\windows\system32\taskkill.exe
目标: c:\program files\tencent\qq\bin\qq.exe

创建一个图片2011.jpg 并且打开

修改文件
进程: d:\病毒\我的相片_s\我的相片_s\我的相片_s.exe
目标: D:\病毒\我的相片_s\我的相片_s\2011.jpg

修改注册表,不清楚什么作用.

修改注册表值
进程: d:\病毒\我的相片_s\我的相片_s\我的相片_s.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Direct3D\MostRecentApplication\Name
值: 我的相片_s.exe

在后台等待用户启动QQ,发现QQ登陆窗后,向QQ不断发消息.

向其他进程发送消息
进程: d:\病毒\我的相片_s\我的相片_s\我的相片_s.exe
目标: c:\program files\tencent\qq\bin\qq.exe
消息: WM_GETTEXTLENGTH

用一个透明编辑框挡在QQ密码输入位置,拦截输密码.当用户输入完回车时,模拟键盘把QQ密码输入QQ的登框.

键盘操作   
进程: d:\病毒\我的相片_s\我的相片_s\我的相片_s.exe

利用IE把QQ账号密码发送出去,绕过防火墙.

向其他进程发送消息
进程: d:\病毒\我的相片_s\我的相片_s\我的相片_s.exe
目标: c:\program files\internet explorer\iexplore.exe
消息: WM_DDE_EXECUTE

sugerkevin

先回复，再来看

02223289680

换安全防护板QQ试试

Tron

云QVM KILL，目前此类样本360云主防主要通过云QVM消灭～

yjwfdc

02223289680 发表于 2011-10-20 17:43
换安全防护板QQ试试

你说加驱的那个?上次安装不了.

iezhaoie

道高一尺魔高一丈

02223289680

yjwfdc 发表于 2011-10-20 17:46
你说加驱的那个?上次安装不了.

试试看..要申请 这是新版本的
http://exp.qq.com/cgi-bin/presen ... e_flag=0&x=6540

看看QQ的驱动能否拦住盗Q木马

yjwfdc

Tron 发表于 2011-10-20 17:45
云QVM KILL，目前此类样本360云主防主要通过云QVM消灭～

金山k+也杀,

这类样本如果成功免杀这两家的云,也就成功了.

BHHZDQL

1。退出360安全卫士。
2。运行病毒。
3。运行360安全卫士。
干嘛要退出呢？要测试主动防御也得关文件实时监控把？

Tron

yjwfdc 发表于 2011-10-20 17:51
金山k+也杀,

这类样本如果成功免杀这两家的云,也就成功了.

K+用低级哈希云来杀跟云QVM杀区别太大了。。

而且云端动态系统会快速收集这类样本，即使免杀也迅速失效。