查看: 49457|回复: 161
收起左侧

[讨论] 一个QQ钓鱼木马事件的深度追踪

  [复制链接]
静雨
发表于 2015-7-2 14:08:04 | 显示全部楼层 |阅读模式
           0×01
今天早上刚起来,一个朋友就发给我一个文件,一看文件的名字是拿货清单.tbz2,我第一感觉是病毒,然后就打电话告诉我的那个朋友,她的QQ号码可能被盗了,让她赶快修改密码,她改完之后,这件事情本来应该结束的,因为我的好奇心,还有发现这个木马是免杀的,所以就去分析了下这个木马,然后就有了后来的事情。
0×02
样本图标:
是不是感觉很诡异,压缩前的文件竟然比压缩后的文件还要大5000K,我用Winhex打开,发现里面有这个完整的PE,才看了下原来压缩比例是100%,根本就没进行压缩算法,而且在压缩包的文件末尾还加了好多没用的数据,看来这作者是在构建畸形压缩包,起到QQ传输木马不被发现里面包含PE的作用。

0×03
用户通过打开压缩包,双击运行压缩包里的木马后,木马会运行起来,然后从自身资源释放一张图片到电脑上,通过系统调用打开图片,起到迷糊用户的目的,用户以为打开的是图片,如图:

但是他们不知道其实木马还没结束,它会把自身复制到临时目录下,然后通过WinExec这个API,传递第二个参数是SW_HIDE把自身重新运行起来,如图:


再次运行起来的木马,因为是隐藏运行的,所以会走下面的木马流程,如图:

注册一个窗口:


动态创建控件,伪装QQ重新登录的界面,如图:
设置控件的风格,如图:


构造的界面如图所示,感觉挺真的,不认真看真看不来:

解密字符串,解密出腾讯的窗口类型,如图:


设置定时器,监控QQ窗口是否被激活,如图:

通过NtSuspendProcess把QQ进程挂起,弹出钓鱼的界面,如图:

定时器函数里的作用就是,每过固定间隔,检测一下窗口类为TXGuiFoundation的窗口是否存在,如果存在的话,就弹出钓鱼的窗口,如图:

用户点登陆后,会弹出2次,如果2次密码输入的一样,就会把密码发送到远程服务器,如图:

这是发送到远程服务器的地址,如图:

0×04
通过对这个地址的挖掘,发现地址:http://119.163.172.10/socket/ste.php是一个企业的网站,如图:
只有一个解释就是,这个网站被入侵了,木马作者把转发脚本放到网站上,靠转发脚本把窃取到的账号和密码发到他真正的服务器,木马作者之所以这么干,可能是因为360会拦截发往黑域名或者黑IP的数据,作者是靠企业网站做中转,这样木马向这个中转网站发数据,360不会拦截,因为这些企业网站是可信域名。
于是就试图找下这个站的漏洞,原来这个站是用的老版本的thinkphp,存在漏洞,漏洞地址为:http://xxx.xxx.xxx.10/outbound/index.php/xxx/xxx/xxx/%7B$%7B@eval(phpinfo())%7D%7D
截图:
于是挂上菜刀,发现/var/www/html/socket/目录下的确实存在一个转发脚本,是4月30号刚上传上去的,可以看出来这人是通过比较老的THINKPHP漏洞拿到的webshell,如图:

这个脚本具有转发数据的功能,附加上中毒者的IP后转到真正的服务器地址:http://122.0.71.39:8080/admin/sub.asp,也就是QQ木马的箱子地址,如图:

0×05
通过对地址的进一步挖掘找到了作者的QQ号,和他女朋友的QQ:
木马作者的QQ:4102*42**

估计是他女朋友的QQ号:529944***

另一个女朋友吧?
245735***  真实姓名 宋晶

作者的百度知道:http://www.baidu.com/p/410264228?from=zhidao,木马作者发的易语言帖子,2011年就开始找写木马的高手了。http://bbs.eyuyan.com/u.php?uid=303905

超级管理员登录地址:http://122.0.71.38:8080/admin/super/Login_s.asp截图:

一般用户登录地址:http://122.0.71.38:8080/admin/Login.asp截图:

使用木马的诈骗者用的工具,从通过这个软件去采集信息,采集一些大企业的邮箱,通过邮箱群发工具把木马发出去:

今天没事就去互联网上随便搜了搜,人肉结果如下,拒绝查水表,谢谢!
通过QQ查看到QQ微博帐号是a4102642**,得知这人的邮箱地址可能是:

a4102642**@163.com a4102642**@126.com

然后通过支付宝的转账功能看了下,果真有个163的邮箱:
真名:*耀泉

和QQ资料相符:可以看出就是这人的真实姓名

然后去试他的邮箱的密码:

果断选择通过密码提示问题找回:
看他交过这么多女朋友的经历,第一个猜测的是网游,错误了,第二次果断填的做爱,没想到竟然对了!
然后改了下密码,就进去他邮箱了:

邮箱收件箱的内容全被他删掉了:

已发邮件里找到了2011年的邮件,发现他2011年在通过SMTP协议的木马盗取QQ帐号密码:

通过邮箱里的文件,找到了一个银行卡号,正是作者的名字:
开户行:宾阳县的

宾阳都形成的诈骗的产业链了

这估计是他卖木马用的银行卡号:

从邮箱文件列表里又下载到一个压缩包:

拒绝查水表,我都删掉了,密码也改回来了!
希望木马作者回头吧。
0×06
苦海无边,回头是岸;施主回头吧!
* 作者/FGE






PS:这种盗号木马一般例如火绒、百度、金山这类杀毒应该都可以拦截到吧,好像文章里也没有谈到是否能过杀毒的测试。
有大牛有文章里说的样本嘛





评分

参与人数 20人气 +21 收起 理由
辽宁大连~~小海 + 1 很给力!
聆听心声 + 1 很给力!
也不知道谁 + 1
allinwonderi + 1 赞一个!
virusdefender + 1 原创内容

查看全部评分

ctrlz2z
发表于 2015-7-2 15:27:34 | 显示全部楼层
我擦,,好牛叉
飞扬丶
发表于 2015-7-2 15:58:37 | 显示全部楼层
尼玛~五体投地
renshijian
发表于 2015-7-2 16:12:39 | 显示全部楼层
木马作者在楼主面前完败
vm001
发表于 2015-7-2 16:24:53 | 显示全部楼层
你把他QQ堵了半天最后还是给暴露出来了...

评分

参与人数 1人气 +1 收起 理由
jefffire + 1 功亏一篑

查看全部评分

a445441
发表于 2015-7-2 16:34:19 | 显示全部楼层
这个技术帖子不错
莒县小哥
发表于 2015-7-2 16:45:14 | 显示全部楼层
技术贴,支持一个
fuzhk
发表于 2015-7-2 19:26:33 | 显示全部楼层
技术贴,好,楼主高明
Tarchia
发表于 2015-7-2 19:31:32 | 显示全部楼层
楼主厉害
1518589226
发表于 2015-7-2 19:33:29 | 显示全部楼层
大神你好 小弟膜拜
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-15 08:27 , Processed in 0.126898 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表