盗号木马（十二）

显示全部楼层 · 发表于 2012-5-8 17:04:03

hx1997 发表于 2012-5-6 18:19
想避免也避免不了，目前 Windows 下没有哪个有效 PE 程序不用 API。

WINDOWS下完全可以构造一个有效的PE程序，不调用任何API。

显示全部楼层 · 发表于 2012-5-8 18:05:56

网站被阻止！
G Data 互联网安全套装 2012已阻止访问此网站。
该站点包含被感染的代码：Trojan.PWS.Agent.SOC (引擎A), Win32:Malware-gen (引擎B)。

显示全部楼层 · 发表于 2012-5-8 18:25:00

LockeHIPS 发表于 2012-5-8 17:04
WINDOWS下完全可以构造一个有效的PE程序，不调用任何API。

好吧看来我寡闻了。不过它加载 DLL 不用调用 API 的么？是怎么做到的？

显示全部楼层 · 发表于 2012-5-8 19:23:38

hx1997 发表于 2012-5-8 18:25
好吧看来我寡闻了。不过它加载 DLL 不用调用 API 的么？是怎么做到的？

不加载DLL也可以的

显示全部楼层 · 发表于 2012-5-8 22:30:16

直接运行后操作：

2012-5-8 21:27:51 修改注册表值允许
进程: d:\soft\厢册\厢册.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\QQMusic
值: D:\Soft\厢册\厢册.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2012-5-8 21:27:51 向其他进程发送消息允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\explorer.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:29:26 向其他进程发送消息允许
进程: d:\soft\厢册\厢册.exe
目标: c:\program files\internet explorer\iexplore.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:36:54 向其他进程发送消息允许
进程: d:\soft\厢册\厢册.exe
目标: c:\program files\tencent\qq\bin\qq.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:36:54 底层键盘操作允许
进程: d:\soft\厢册\厢册.exe
规则: [应用程序]*

2012-5-8 21:44:24 向其他进程发送消息允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\notepad.exe
消息: WM_GETTEXT
规则: [应用程序]*
===================================
重启后操作

2012-5-8 21:57:31 向其他进程发送消息阻止
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:57:31 向其他进程发送消息允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:57:31 向其他进程发送消息允许
进程: d:\soft\厢册\厢册.exe
目标: c:\program files\malware defender\malwaredefender.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:30 向其他进程发送消息 (2) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:30 向其他进程发送消息 (3) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\vboxtray.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:30 向其他进程发送消息允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:30 向其他进程发送消息 (2) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\program files\defensewall\defensewall.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:30 向其他进程发送消息 (4) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:30 向其他进程发送消息 (3) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\vboxtray.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:30 向其他进程发送消息允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:30 向其他进程发送消息 (2) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\program files\defensewall\defensewall.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:30 向其他进程发送消息 (4) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:30 向其他进程发送消息 (3) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\vboxtray.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:31 向其他进程发送消息允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:31 向其他进程发送消息 (2) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\program files\defensewall\defensewall.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:31 向其他进程发送消息 (2) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:31 向其他进程发送消息 (2) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:31 向其他进程发送消息 (3) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\vboxtray.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:31 向其他进程发送消息允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:31 向其他进程发送消息 (2) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\program files\defensewall\defensewall.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:31 向其他进程发送消息 (4) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:31 向其他进程发送消息 (3) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\vboxtray.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:31 向其他进程发送消息允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:31 向其他进程发送消息 (2) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\program files\defensewall\defensewall.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:31 向其他进程发送消息 (4) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:31 向其他进程发送消息 (3) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\vboxtray.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:31 向其他进程发送消息允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:31 向其他进程发送消息 (2) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\program files\defensewall\defensewall.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:32 向其他进程发送消息 (4) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:32 向其他进程发送消息 (3) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\vboxtray.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:32 向其他进程发送消息允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:32 向其他进程发送消息 (2) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\program files\defensewall\defensewall.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:32 向其他进程发送消息 (4) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:32 向其他进程发送消息 (3) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\vboxtray.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:32 向其他进程发送消息允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:32 向其他进程发送消息 (2) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\program files\defensewall\defensewall.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:32 向其他进程发送消息 (4) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:32 向其他进程发送消息 (3) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\vboxtray.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:32 向其他进程发送消息允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:32 向其他进程发送消息 (2) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\program files\defensewall\defensewall.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:33 向其他进程发送消息 (4) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:33 向其他进程发送消息 (3) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\vboxtray.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:33 向其他进程发送消息允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:33 向其他进程发送消息 (2) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\program files\defensewall\defensewall.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:33 向其他进程发送消息 (4) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\ctfmon.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 21:58:33 向其他进程发送消息 (3) 允许
进程: d:\soft\厢册\厢册.exe
目标: c:\windows\system32\vboxtray.exe
消息: WM_GETTEXT
规则: [应用程序]*

-----------------------
2012-5-8 22:09:02 访问网络允许
进程: d:\soft\厢册\厢册.exe
目标: TCP [本机 : 1043] -> [173.252.194.240 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

程序第一次访问网络
-----------------------

2012-5-8 22:11:47 向其他进程发送消息允许
进程: d:\soft\厢册\厢册.exe
目标: c:\program files\tencent\qqmusic\qqmusic.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-8 22:13:15 向其他进程发送消息允许
进程: c:\program files\defensewall\defensewall.exe
目标: c:\program files\internet explorer\iexplore.exe
消息: WM_SETTEXT
规则: [应用程序]*

md无规则测试记录：程序向所有以打开软件或进程发送消息记录，登陆QQ时试图读取键盘操作，qq无法直接输入密码，即使能输入，登陆时也显示键盘错误，小键盘输入后，登陆正常

msdtctm.dll
-kernel32.dll
--ntd11.dll

动态链接库文件下，挂着两个子级链接库，作用未知

新手一枚求鉴定

显示全部楼层 · 发表于 2012-5-9 08:38:00

webweb 发表于 2012-5-4 18:16
第2条记录应该和木马无关
看下一圈来，其实就捕捉到了一个动作：遍历进程，就是搜索内存中所有存在的进程 ...

他不发现扣扣进程是没有什么动作的

显示全部楼层 · 发表于 2012-5-9 22:24:24

貌似360有反应了。。

显示全部楼层 · 发表于 2012-5-10 06:47:28

别人发给我的连接，实机玩的！QQ截的图，一大早刚吃好早点，无聊呢点了好几遍，D加拦截了，1000条消息。NND牛B访问电脑上几乎所有的软件啊！

显示全部楼层 · 发表于 2012-5-10 15:11:13

guidanba 发表于 2012-5-4 18:18
我说360了吗？你说360干什么？？。

你们说的我都看不懂，不过这句话把我逗笑了。

显示全部楼层 · 发表于 2012-5-10 15:36:54

怎么的被盗了呢

[病毒样本] 盗号木马（十二）

RE: 盗号木马（十二）

评分

本帖子中包含更多资源

浏览过的版块