QQ钓鱼易语言病毒

王国之心00

安全守护者 发表于 2018-2-12 18:03
估计这个程序还会查询密码是否正确或者密码位数是否正确

一般会第一次输入无论是否正确弹窗不正确，第二次输入和第一次输入密码一致才会发送到盗号者服务器

安全守护者

王国之心00 发表于 2018-2-12 18:09
一般会第一次输入无论是否正确弹窗不正确，第二次输入和第一次输入密码一致才会发送到盗号者服务器

1. 执行:打开 文件:C:\Windows\Fonts\staticcache.dat
   
2. 数据已经Dump：大小 83
   
3. 执行：发送数据（TCP）到：139.199.0.45:4679

复制代码

不过我发现IP似乎是腾讯的。

1. WHOIS results for: 139.199.0.45
   
2. % [whois.apnic.net]
   
3. % Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html
   
4. 
   
5. % Information related to '139.199.0.0 - 139.199.255.255'
   
6. 
   
7. % Abuse contact for '139.199.0.0 - 139.199.255.255' is 'ipas@cnnic.cn'
   
8. 
   
9. inetnum:        139.199.0.0 - 139.199.255.255
   
10. netname:        TencentCloud
    
11. descr:          Tencent cloud computing (Beijing) Co., Ltd.
    
12. descr:          Floor 6, Yinke Building,38 Haidian St,
    
13. descr:          Haidian District Beijing
    
14. admin-c:        JT1125-AP
    
15. tech-c:         JX1747-AP
    
16. country:        CN
    
17. mnt-by:         MAINT-CNNIC-AP
    
18. mnt-lower:      MAINT-CNNIC-AP
    
19. mnt-routes:     MAINT-CNNIC-AP
    
20. mnt-irt:        IRT-CNNIC-CN
    
21. status:         ALLOCATED PORTABLE
    
22. last-modified:  2015-01-29T06:14:02Z
    
23. source:         APNIC
    
24. 
    
25. irt:            IRT-CNNIC-CN
    
26. address:        Beijing, China
    
27. e-mail:         ipas@cnnic.cn
    
28. abuse-mailbox:  ipas@cnnic.cn
    
29. admin-c:        IP50-AP
    
30. tech-c:         IP50-AP
    
31. auth:           
    
32. # Filtered
    
33. remarks:        Please note that CNNIC is not an ISP and is not
    
34. remarks:        empowered to investigate complaints of network abuse.
    
35. remarks:        Please contact the tech-c or admin-c of the network.
    
36. mnt-by:         MAINT-CNNIC-AP
    
37. last-modified:  2017-11-01T08:57:39Z
    
38. source:         APNIC
    
39. 
    
40. person:         James Tian
    
41. address:        9F, FIYTA Building, Gaoxinnanyi Road,Southern
    
42. address:        District of Hi-tech Park, Shenzhen
    
43. country:        CN
    
44. phone:          +86-755-86013388-84952
    
45. e-mail:         harveyduan@tencent.com
    
46. nic-hdl:        JT1125-AP
    
47. mnt-by:         MAINT-CNNIC-AP
    
48. last-modified:  2016-10-31T07:10:47Z
    
49. source:         APNIC
    
50. 
    
51. person:         Jimmy Xiao
    
52. address:        9F, FIYTA Building, Gaoxinnanyi Road,Southern
    
53. address:        District of Hi-tech Park, Shenzhen
    
54. country:        CN
    
55. phone:          +86-755-86013388-80224
    
56. e-mail:         harveyduan@tencent.com
    
57. nic-hdl:        JX1747-AP
    
58. mnt-by:         MAINT-CNNIC-AP
    
59. last-modified:  2016-11-04T05:51:38Z
    
60. source:         APNIC
    
61. 
    
62. % Information related to '139.199.0.0/16AS45090'
    
63. 
    
64. route:          139.199.0.0/16
    
65. descr:          TencentCloud
    
66. descr:          Tencent cloud computing (Beijing) Co., Ltd.
    
67. country:        CN
    
68. origin:         AS45090
    
69. notify:         jimmyxiao@tencent.com
    
70. mnt-by:         MAINT-CNNIC-AP
    
71. last-modified:  2016-01-21T09:24:01Z
    
72. source:         APNIC
    
73. 
    
74. % This query was served by the APNIC Whois Service version 1.88.15-43 (WHOIS-US4)

复制代码

Jerry.Lin

1.                 瑞星反恶软引擎命令行扫描器（社区交流版）
   
2. 
   
3. 
   
4. 编译于：Sep 22 2017   15:07:50
   
5. 
   
6. 提示：
   
7.   - 本工具供社区交流使用，请勿用于其他用途
   
8.   - 本工具没有恶意软件删除、清除、隔离功能
   
9.   - 本工具包含开发中的新特性，结果仅供参考
   
10. 
    
11. * 命令行中的选项开关：
    
12. * 获取恶软签名库最新版本 ...
    
13. * 下载恶软签名库配置文件 ...
    
14. * 创建恶软签名库升级组件 ...
    
15. * 计算并下载增量文件 ...
    
16. *  下载 3695-3694.rp ...  成功
    
17. *  下载 3696-3695.rp ...  成功
    
18. * 升级恶软签名库 ...
    
19. *  处理 3695-3694.rp, 错误码 = 0
    
20. *  处理 3696-3695.rp, 错误码 = 0
    
21. * 恶软签名库升级成功
    
22. * 扫描目标 : (1) C:\Users\USER\AppData\Local\Temp\Rar$VR16868.13151
    
23. 
    
24. * 加载恶软签名库： C:\Users\USER\Downloads\Compressed\RDM20171130x64/malware.rmd
    
25. * 恶软签名库加载成功，发布序号为 3696
    
26. * 读取恶软签名库配置 ...
    
27. * 云辅助扫描组件初始化失败.
    
28. * 初始化引擎环境 ...
    
29. * 初始化引擎环境 ...
    
30. * 初始化引擎环境 ...
    
31. * 初始化引擎环境 ...
    
32. * 初始化引擎环境 ...
    
33. * 初始化引擎环境 ...
    
34. * 初始化引擎环境 ...
    
35. * 初始化引擎环境 ...
    
36. 扫描开始: Mon Feb 12 20:44:34 2018
    
37. 
    
38. C:\Users\USER\AppData\Local\Temp\Rar$VR16868.13151\Rar$Scan7810.bat ...         ok
    
39. C:\Users\USER\AppData\Local\Temp\Rar$VR16868.13151\1月份对账单_2.rar\1月份对账单.exe ...        ok
    
40. 
    
41. 扫描结束: Mon Feb 12 20:44:38 2018
    
42. 
    
43. 总扫描耗时: 0:3:301(m:s:ms)
    
44. 总扫描对象: 2
    
45. 总扫描文件: 2
    
46. 总恶意文件: 0
    
47. 有效检出率: 0.00%

复制代码

x291502676

BDF    双击ATC杀

安全守护者

王国之心00 发表于 2018-2-12 16:56
在火绒论坛看到的，火绒已入库

哪个帖子啊？

王国之心00

安全守护者 发表于 2018-2-12 21:27
哪个帖子啊？

在那帖子也看到你了http://bbs.huorong.cn/thread-43732-1-2.html

欧阳宣

mbam miss

erui

这样的可执行程序很多，看很多杀毒软件是靠特征码入库，显得很无奈呀！
我觉得这种模仿入口的登录程序，应该由官方网站想办法解决，肯定能解决，
还有那些银行登录程序，也是如此。

王国之心00

erui 发表于 2018-2-13 09:01
这样的可执行程序很多，看很多杀毒软件是靠特征码入库，显得很无奈呀！
我觉得这种模仿入口的登录程序，应 ...

模仿入口的登录程序数据压根不走官方网站，是独立的程序，官方网站没办法。顶多QQ客户端防止被病毒关闭下线或隐藏窗口

qwert520

刚下载完就被360隔离了。。