前言
今天收到网友邮件,强烈推荐我一款最新的QQ密码盗取木马生成器——全能QQ大盗。 我就纳闷呢,这年头怎么有这么多人对这玩意这么感兴趣呢……不管怎么说,盛情难却,就收下这款宝贝,以后用来整整人也好。
先让我们来看看这款木马的介绍。
目前为止,最牛X的QQ木马。可以获取用户Q币数量、游戏币数量、QQ积分、QQ游戏点等信息。完美破解QQ2006键盘保护,密码框不会出现红叉叉, 所有版本QQ通杀,包括最新的QQ2006 Beta2。采用特殊的线程插入技术,无启动项,无进程, 突破各类防火墙(如:天网、卡巴、瑞星、金山网镖、江民……)。采用同类QQ木马当中,绝对领先的技术,准确获取QQ密码,绝无偏差。用户登陆成功后再发信,从而杜绝重复发信、密码错误发信情况,不在收取重复信件,提高软件工作效率立即删除自身,让木马不留痕迹。具有定时关闭QQ和防重复运行的功能!下面是截图:
看的出来,这款密码盗取软件针对目前国内外的主流桌面防火墙软件作出了针对性的改进,且具有很高的隐蔽性,一旦运行了木马的EXE,它就几乎彻底隐藏了自己,就象广告中说的一样,无启动项,无进程。常规的检测工具要检测它具有一定的难度,所以这款木马生成器生成的木马对于普通用户来说具有相当大的杀伤力。
木马分析
接下来我们来看看该木马的工作流程:
木马在获得启动运行后,就会将复制一个备份到C:Program FilesInternet ExplorerPLUGINS,并重命名为qn911.dll(其实这还是一个EXE文件)并将其文件属性设为隐藏和系统然后在C:Program FilesInternet ExplorerPLUGINS释放出qn911.sys(其实这是一个DLL文件)。
这时候木马会在系统注册表内注册一个CLASSID
HKCRCLSID
并将该CLSID和C:Program FilesInternet ExplorerPLUGINSqn911.sys联系在一起。然后将该CLSID添加添加到注册表的ShellExecuteHooks下
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
=""
(老鸟这时候就会说了,原来它的无启动项和特殊的线程插入技术就是这么实现的啊…)
Qn911.sys内含有钩子WH_GETMESSAGE。
在木马下完钩子后,完成盗取QQ密码的准备工作后就创建一个名为MicroSoft.bat的批处理文件,用于删除木马的EXE文件和批处理自身.这样它在系统中就是”无进程”了。
这里有个插曲,木马的作者会给分析人员一些留言,内容如下:
wodexiaoshihouchaonaorenxingdeshihou
waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang
tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai
由于我的小学拼音实在不怎么样,而且由于时间关系,所以这个内容留给感兴趣的人来解读吧。(没有标点符号的文章实在很难读啊)。
这时如果启动QQ,通过ShellExecuteHooks,qn911.sys就会插入到QQ的进程空间中去了。
邮件内容如下:
对决 面对如此一个新颖,强悍,隐蔽的对手,终截者能防御吗?毛主席说过:实践是检验真理的唯一标准,那我们就用事实来说话吧。先将QQ加入终截者的 密码锁保护列表内:
启动木马进程,终截者对进程危险程序的判断还是很精准的。
实验需要,我们放过该木马,允许它运行。 启动QQ运行,并查看其进程模块,可以看到,进程 空间内qn911.sys已经无法注入到QQ的进程中去。看来,终截者对ShellExecuteHook方式的线程注入还是有防御手段是非常成功有效的。既然qn911.sys不能注入到QQ进程 空间中,那么截取 密码当然也就无从谈起了。我们在查看指定接收 密码的 邮箱,里面自然一无所获。 
就这样一场QQ 密码的攻防战就在用户毫不知情的状况中发生和结束了。 用户唯一的线索大概就要到关闭QQ时,查看详细信息时才能从模块信息列表中看到木马曾经来过的蛛丝马迹。 
乘胜追击 | 
