亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　部分網(wǎng)吧發(fā)現(xiàn)QQ木馬盜號(hào)的現(xiàn)象，主要是體現(xiàn)著以下幾點(diǎn)：

　　1、木馬執(zhí)行不規(guī)律，木馬行為與策略相關(guān)聯(lián)。

　　2、就了解到的情況來(lái)看，感染QQ2013為主。

　　3、破壞QQ文件，全局dll注入。修改微軟官方模塊rasman.dll，使系統(tǒng)指向假的rasman.dll，執(zhí)行完病毒代碼之后再指向真的rasmanorg.dll。

　　4、QQ被破壞，按登錄鍵進(jìn)程直接退出。

　　相關(guān)文件

　　暫時(shí)查到病毒下載器為C：windowsdebugQQprotect.exe

　　病毒主體應(yīng)該是：C：programfilesintel隨機(jī)數(shù).exe

　　被感染的文件；C：windowssystem32
asman.dll   QQPathinqq.exe

　　父進(jìn)程據(jù)報(bào)告極有可能是：Flash_ActiveX.exe2013年 順網(wǎng)爆發(fā)過(guò)相關(guān)漏洞

　　環(huán)境

　　多種網(wǎng)吧計(jì)費(fèi)，游戲更新環(huán)境。共同點(diǎn)使用P某in系統(tǒng)。

　　詳細(xì)分析

　　一、QQprotect.exe 分析

　　病毒爆發(fā)時(shí)間十月7號(hào)至十月11號(hào)下午；客戶(hù)機(jī)執(zhí)行Hips工具時(shí)病毒不執(zhí)行；11號(hào)下午病毒策略下載網(wǎng)站突然無(wú)法打開(kāi)。

　　按照進(jìn)程排除的辦法，確定病毒文件為QQprotect.exe，提取出本文件在純凈的虛擬機(jī)中執(zhí)行，發(fā)現(xiàn)QQ進(jìn)程在幾分到幾十分鐘左右掉線(xiàn)。之后QQ文件被惡意篡改，登錄QQ的時(shí)候QQ直接崩潰。與客戶(hù)反饋的癥狀相符。

　　1、脫UPX殼，利用OD打開(kāi)QQprotect程序進(jìn)行跟蹤，首先程序判斷自身是否在C：windowsDebug目錄下，如果不再?gòu)?fù)制自身然后進(jìn)行自刪除。 （圖1）

　　圖1

　　然后退出進(jìn)程運(yùn)行復(fù)制之后的程序。

　　2、繼續(xù)執(zhí)行下去，到如下函數(shù)。進(jìn)入該函數(shù)，發(fā)現(xiàn)程序下載了一個(gè)log文件。（圖2）

　　圖2 配置文件下載CALL

　　進(jìn)入該函數(shù)發(fā)現(xiàn)，系統(tǒng)從http：//v.5youka.com/tj/list.jpg 下載到系統(tǒng)的C：windowsdebugPASSWDS.LOG中。 （圖3）

　　圖3

　　由于11號(hào)下午病毒突然不執(zhí)行，策略文件無(wú)從得到，后面的所以與策略文件有關(guān)的判斷及跳轉(zhuǎn)均為筆者模擬的病毒行為。

　　3、下載完成之后，系統(tǒng)開(kāi)始讀取配置文件內(nèi)容，并且通過(guò)配置文件中的內(nèi)容進(jìn)行解析。

　　4、病毒根據(jù)配置文件的信息，在C：Program Filesinter下載生成了一個(gè)隨機(jī)數(shù)的exe。（圖4、

　　5）

　　圖4 構(gòu)造文件目錄

　　圖5 生成隨機(jī)exe路徑

　　由于配置文件缺失，該exe文件沒(méi)有下載成功。但是幾乎可以確定是QQ木馬。因?yàn)檎麄€(gè)程序就下載過(guò)這一次exe程序。

　　5、之后，系統(tǒng)先檢測(cè)某些進(jìn)程是否執(zhí)行，由于函數(shù)參數(shù)為空，筆者跟蹤了一下，發(fā)現(xiàn)是配置文件中保存的（筆者沒(méi)下載到策略文件，自己隨便建立的空文件）。有可能是判斷安全軟件是否執(zhí)行的函數(shù)。（圖5）

　　二、rasman.dll 分析

　　文件大小及屬性被篡改（如圖6）

　　圖 6

　　輸出函數(shù)（EAT）被修改

　　OD分析Dll程序發(fā)現(xiàn)敏感盜號(hào)字符串 (圖7)

　　圖7 明顯的收信機(jī)制

　　該函數(shù)在偏移0x340 處，病毒發(fā)作的時(shí)候已經(jīng)成功的注入到QQ的進(jìn)程中，還不清楚該dll是如何盜取的QQ密碼，但是此模塊應(yīng)該就是發(fā)信模塊了，系統(tǒng)利用隨機(jī).exe下載了該 dll，然后unmap一下這個(gè)dll，然后映射上自己的假DLL。注入騰訊之后獲取騰訊的內(nèi)存空間內(nèi)容。

　　回溯追查了一下，發(fā)現(xiàn)是以線(xiàn)程的形式啟動(dòng)的，該函數(shù)處于 $+0x1480處。（圖8）

　　回溯之后有了重大發(fā)現(xiàn)，可以確定該文件為仿造微軟的盜號(hào)模塊。下圖為盜號(hào)木馬的核心代碼。(這個(gè)地址的代碼完全可以提供盜號(hào)的新思路)

　　這里非常重要，直接loadLoginUI.dll后面我發(fā)現(xiàn) 他直接創(chuàng)建控件，也就是說(shuō)把UI修改，輸入的密碼直接輸入到他的文本框中。loadLoginUI中的導(dǎo)出函數(shù)是誰(shuí)教他的，如何定義的是如何知道的？騰訊什么時(shí)候和微軟合作了？

　　繼續(xù)往下看，程序開(kāi)始動(dòng)態(tài)的寫(xiě)控件啦，如圖：

　　作者竟然還做的日志 –！

　　作者在記錄時(shí)間！

　　訪(fǎng)問(wèn)空間的時(shí)候，修改了內(nèi)存的屬性。

　　通過(guò)網(wǎng)絡(luò)查詢(xún)出來(lái)的結(jié)果

　　策略地址：http：//v.5youka.com/tj/count.php 已經(jīng)無(wú)法訪(fǎng)問(wèn)了

　　IDC：

　　總結(jié)

　　由于有特殊的保護(hù)機(jī)制，無(wú)法查出是哪個(gè)進(jìn)程調(diào)用的該程序，啟動(dòng)較早，父進(jìn)程可能隨開(kāi)機(jī)啟動(dòng)，無(wú)法排查。

　　解決方法如下：

　　方案1、Host跳轉(zhuǎn)，禁止策略的獲取。網(wǎng)址為：http：//v.5youka.com

　　方案2、升級(jí)QQ到最新版本，發(fā)現(xiàn)這個(gè)病毒只支持QQ2013，盡量不用這種辦法。

　　方案3、可以在禁止啟動(dòng)的進(jìn)行的列表中增加C：windowsdebugQQprotect.exe

　　注入微軟DLL確實(shí)是一種特別強(qiáng)大的辦法，然后利用注入到進(jìn)程的空間模塊，提升自身的權(quán)限，然后重寫(xiě)騰訊的控件。

    文章來(lái)源：http://vmware51.blog.51cto.com/9851770/1605447