QQ盗号木马

前言

   这是一系列的QQ盗号木马,但是因为这个系列的木马被加上了Themida系列的强壳。所以无法对他是如何获取到QQ号信息进行分析。但是不阻碍我们对他的某些恶意行为的分析

样本信息

加壳信息:Unknown Packer-Protector , 7 sections -> CRC is Set !<-

样本行为

0x01加强壳保护自身

这个木马是被加了强壳的而且用最新版本的查壳工具还不能够查出他是什么壳,但是在调试的过程中我发现它是加了一个Themida壳。

 

 

0x02混淆视听打开图片

 

这个木马会先通过rundll32.exe进程启动shimgvw.dll的ImagView_Fullscree函数来启动图片,达到混下视听的目的,让用户以为自己点开一张图片,而不是一个应用程序

 

 

0x03复制自身,启动自身

该木马还将自己复制到系统的tmp文件中,并启动该进程

0x04盗取QQ信息

在睡眠了一会儿后,程序就会跳出一个盗号的对话框,这个界面做的也太丑了,一看就不是腾讯官方的QQ界面,这里他会要求你输入2次密码,看上去你是有很多个选择,可以但是其实你只能选择登录,其他选择懂不行。

 

 

 

0x05发送信息

抓包的时候可以看到,是将我们的QQ号和输入的密码明文发送的

 

0x06目标地址

 

总结

  对于这种盗号程序,用户需要有一种防范意识,要有基本的辨别对话框是否是腾讯提供的登录框,在要求你输入你的密码的时候,用户需要谨慎。360安全卫士能完美查杀该木马

时间: 2024-08-02 14:09:23

QQ盗号木马的相关文章

病毒木马查杀第009篇:QQ盗号木马之手动查杀

一.前言 之前在<病毒木马查杀第002篇:熊猫烧香之手动查杀>中,我在不借助任何工具的情况下,基本实现了对于"熊猫烧香"病毒的查杀.但是毕竟"熊猫烧香"是一款比较简单的病毒,它并没有采取一些特别强的自我保护技术,所以我们完全可以"徒手"解决.但是这次研究的恶意程序就没那么简单,它采取了进程保护的技术,使得我们不能够使用常规手法对其实现查杀.所以这次我引入了两个工具--icesword与autoruns,以达到查杀的目的. 二.病毒的基

病毒木马查杀第012篇:QQ盗号木马之逆向分析

一.前言 在本系列的文章中,对每一个病毒分析的最后一个部分,若无特殊情况,我都会采用逆向分析的手段来为读者彻底剖析目标病毒.但是之前的"熊猫烧香"病毒,我用了三篇文章的篇幅(每篇2500字左右)也仅仅分析了病毒的三分之一,而且还没分析到病毒的核心部分.主要也是因为那是我这个系列为大家分析的第一个病毒,为了将一些原理性的东西说清楚,所以文章略显冗长,也主要是照顾一下初学的朋友,摒弃那些高大上的东西,将我的实际分析过程完整地呈现出来.相信大家在认真阅读完那三篇文章后,都能够掌握基本的分析方

简单qq盗号木马分析

简单分析流程: 查壳,发现没壳,那就载入OD直接分析吧 1.调用LoadStringW函数炒资源里加载字符串资源到Buffer中,为后面窗口类名做准备 2.创建窗口,创建了一个主窗口和两个子窗口 3.创建主窗口和两个Edit类型的子窗口,并且通过调用API设置创建风格,并且设置一个文本框为只可读另外一个设置为密文文本 4.用随机的方式填充字符串,填充的字符串"密码错误,请重新输入",""a=x12x&b=_)&c=(*.)","&

病毒木马查杀第011篇:QQ盗号木马之专杀工具的编写

一.前言 由于我已经在<病毒木马查杀第004篇:熊猫烧香之专杀工具的编写>中编写了一个比较通用的专杀工具的框架,而这个框架对于本病毒来说,经过简单修改也是基本适用的,所以本文就不讨论那些重叠的知识,只针对这个病毒特有的方面来讨论专杀工具的编写,然后将其进行组合,就是完整的针对于本病毒的专杀工具了. 二.原理讨论 对于本病毒而言,其最大的特色就在于使用了进程守护技术.病毒运行后,同时有三个病毒进程存在,关闭其中的任何一个,由于还有两个病毒进程的存在,那么被关闭的又会被重新开启.要解决这个问题,不

【逆向】QQkey盗号木马原理分析

一.简介 QQkey是一段字符串,通过这段字符串在没有QQ登录密码的前提下你依然能够在浏览器中对别人QQ空间.邮箱等应用进行随意访问和操作.现在市面上已经有很多使用易语言编写的盗号木马,专门盗取别人的QQkey,通过QQkey改绑关联了该邮箱的Steam账号,最终达到游戏盗号的目的! 二.原理 QQkey并没有人们想象的那么神奇,它其实是腾讯为了方便用户在网页上进行快速登录而推出的一项技术,就好比下面这张图.当你在本地登录QQ客户端的时候,打开网页版QQ空间,浏览器就会检测并提示你进行快速登录(

随笔:近期仍在流行的QQ盗号网页简析

前言:被盗号的人们,你们的防护意识有那么弱吗? 声明:本文提到的技术,仅可用作网络安全加固等合法正当目的.本文作者无法鉴别判断读者阅读本文的真实目的,敬请读者在本国法律所允许范围内阅读本文,读者一旦因非法使用本文提到技术而违反国家相关的法律法规,所造成的一切不良后果由该读者独立承担,本文作者不负责也不承担任何直接间接或连带等法律责任.标有“以下为正文内容:”后的部分为本段所述“正文”.如果不同意.不接受以上声明,请不要阅读本文正文内容.如果阅读以下正文内容,视为充分理解并同意以上内容. 本文地址

我的读书

大学没好好读书,工作了才发现自己读书真的太少,好书真的太多.现在正在慢慢的弥补自己的遗憾了,发现自己藏书也是略多了,哈:D <UNIX编程艺术> 这本书咋说呢,每一页都会让人拍案叫绝,各种对UNIX系统和编程的真知灼见,超五星! <UNIX环境高级编程> 学习Linux C编程,此书一本足矣!超五星! <UNIX网络编程 卷1&2> 我灰常之崇拜的史蒂文的另一力作.掌握之,个人认为绝对的Linux网络编程专家水准,超五星! <算法导论> 读的很艰难的

用户该如何防护电脑盗号的木马?

防护电脑盗号木马,首先要防的就是下载软件,因为很多软件都带有病毒,当你运行的时候就会盗走你的号. 所以下载软件的时候一定要选择大型的网站或者是通过安全软件提供的安全市场来下载,如电脑管家的软件管理功能这种. 如果用户已经遇到了此问题,可以来看看如何手动查找黑客.木马病毒. 手动查找黑客.木马病毒,具体的操作方法如下: 1.重新启动笔记本电脑到安全模式下,然后单击窗口中的"查看-文件夹选项"命令,接着单击切换到"查看"选项卡,在"高级选项"列表框中

马化腾从CFIDO到QQ(CFIDO BBS回忆录)

微博上看到一个和马化腾貌似挺熟的人,聊起了和马化腾的交往,偶然间提到了这个CFIDO东西,搜索了一下,发现是远古的一个bbs.然后还看到一篇以网友的视角写的当时的一些回忆.我觉得挺好玩的,然后看到文章貌似是写在个人站点上的,所以我觉得仅仅是记录一个ip地址是不保险的,我还是把原文搬过来吧. 原文地址:http://www.williamlong.info/archives/2099.html 十天前,也就是2010年2月16日,是一个有纪念意义的一天,这一天是BBS(Bulletin Board