盗号木马（十二）

raider520

webweb

BootLoader 发表于 2012-5-2 18:33
HIPS伪高手们认为装了HIPS之后程序调用每一个API，执行每一行代码都会弹框报警

真の高手 你好

最起码 我不至于高手到会认为hips是一行一行代码 或者一个api一个api这么来监控的，更何况木马应该尽量避免调用api

读和写 不管病毒也好，木马也好，肯定会有一个，一个都没有的那不是超神作品就是幻觉
否则就当然能监控到，没有报警也许是水平问题，但是在win架构下这个规则是不会有例外的
好吧，最起码我实验了，你在干啥呢？找笑话 找乐子的话这并不好玩嘛？

webweb

guidanba 发表于 2012-5-2 17:14
你这是笑话，它是盗号木马，它只等QQ开着时才有动作，你以为什么木马都不等待个好机会就开始释放恶意动 ...

确实是我一厢情愿了，好几年了，第一次发现能绕过comodo监控的，加上毛豆的反泄漏测试成绩那么辉煌，是我过于信任了
又实验了一次，木马会遍历内存，寻找qq.exe，如果存在则强制关闭qq，加载localserver
重新打开qq后，点密码框，qq号码框会明显的闪动一下，点登录后第一下没反映需要再点一下qq才会执行登录
感觉和盗qq的粘虫病毒有点类似，应该是在真的qq框背后还有一个假的，透明的盗号窗口

qq也一直没提示密码被改之类的

胆小心细的木马作品啊，晚上再好好实验一下

ososo

火眼的鉴定结果，让人一目了然。。。

https://fireeye.ijinshan.com/ana ... 59cb3bcf4938ff79da7

guidanba

webweb 发表于 2012-5-4 12:41
确实是我一厢情愿了，好几年了，第一次发现能绕过comodo监控的，加上毛豆的反泄漏测试成绩那么辉煌，是 ...

第一次？？我之前的那些样本里大部分好像刚发布时都能过毛豆的默认设置，看来你没有遇上都太可惜了。[:14:]

00315

BootLoader 发表于 2012-4-30 23:00
看了一下，这个黏虫白利用不需要交互拦截，用压缩包联动就可以完美拦截了。

大牛，我这里测试360可没什么反应啊，怕你怀疑，特此录制视频


http://d.1tpan.com/tp1522097715

saga3721

这个太暴露了吧？上来就改Ntoskrnl内存，还自启动。这要能过Comodo的话赶紧把Comodo卸载算了

hzk456

说一下~这个样本动作太多！呵呵
目标: c:\windows\system32\msspiwin.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-4 17:48:29    访问网络    允许
进程: d:\聊天对战平台\qq2011\bin\qq.exe
目标: UDP [本机 : 4007] ->  [119.147.45.21 : 8000]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-5-4 17:48:29    向其他进程发送消息    允许
进程: d:\disktop\2012相册.exe
目标: c:\windows\system32\msspiwin.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-4 17:48:29    访问网络    允许
进程: d:\聊天对战平台\qq2011\bin\qq.exe
目标: UDP [本机 : 4008] ->  [112.95.240.98 : 8000]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-5-4 17:48:30    向其他进程发送消息    允许
进程: d:\disktop\2012相册.exe
目标: d:\聊天对战平台\qq2011\bin\qq.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-4 17:48:30    访问网络    允许
进程: d:\聊天对战平台\qq2011\bin\qq.exe
目标: UDP [本机 : 4006] ->  [123.151.40.75 : 8000]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-5-4 17:48:30    向其他进程发送消息    允许
进程: d:\disktop\2012相册.exe
目标: d:\聊天对战平台\qq2011\bin\qq.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-4 17:48:31    访问网络    允许
进程: d:\聊天对战平台\qq2011\bin\qq.exe
目标: UDP [本机 : 4005] ->  [119.147.45.79 : 8000]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-5-4 17:48:31    访问网络    允许
进程: d:\聊天对战平台\qq2011\bin\qq.exe
目标: UDP [本机 : 4003] ->  [125.39.205.82 : 8000]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2012-5-4 17:48:32    向其他进程发送消息 (3)    允许
进程: d:\disktop\2012相册.exe
目标: d:\聊天对战平台\qq2011\bin\qq.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-4 17:48:33    向其他进程发送消息 (2)    允许
进程: d:\disktop\2012相册.exe
目标: c:\windows\system32\msspiwin.exe
消息: WM_GETTEXT
规则: [应用程序]*

2012-5-4 17:48:39    向其他进程发送消息 (4)    允许
进程: d:\disktop\2012相册.exe
目标: d:\聊天对战平台\qq2011\bin\qq.exe
消息: WM_GETTEXT
规则: [应用程序]*

酒醒寂寞饮小雨

guidanba 发表于 2012-5-4 16:04
第一次？？我之前的那些样本里大部分好像刚发布时都能过毛豆的默认设置，看来你没有遇上都 ...

你用HIPS 用默认设置 ？你以为是360呢 亲

webweb

hzk456 发表于 2012-5-4 17:50
说一下~这个样本动作太多！呵呵
目标: c:\windows\system32\msspiwin.exe
消息: WM_GETTEXT

第2条记录应该和木马无关
看下一圈来，其实就捕捉到了一个动作：遍历进程，就是搜索内存中所有存在的进程