标签:
前言
这是一系列的QQ盗号木马,但是因为这个系列的木马被加上了Themida系列的强壳。所以无法对他是如何获取到QQ号信息进行分析。但是不阻碍我们对他的某些恶意行为的分析
样本信息
加壳信息:Unknown Packer-Protector , 7 sections -> CRC is Set !<-
样本行为
0x01加强壳保护自身
这个木马是被加了强壳的而且用最新版本的查壳工具还不能够查出他是什么壳,但是在调试的过程中我发现它是加了一个Themida壳。
0x02混淆视听打开图片
这个木马会先通过rundll32.exe进程启动shimgvw.dll的ImagView_Fullscree函数来启动图片,达到混下视听的目的,让用户以为自己点开一张图片,而不是一个应用程序
0x03复制自身,启动自身
该木马还将自己复制到系统的tmp文件中,并启动该进程
0x04盗取QQ信息
在睡眠了一会儿后,程序就会跳出一个盗号的对话框,这个界面做的也太丑了,一看就不是腾讯官方的QQ界面,这里他会要求你输入2次密码,看上去你是有很多个选择,可以但是其实你只能选择登录,其他选择懂不行。
0x05发送信息
抓包的时候可以看到,是将我们的QQ号和输入的密码明文发送的
0x06目标地址
总结
对于这种盗号程序,用户需要有一种防范意识,要有基本的辨别对话框是否是腾讯提供的登录框,在要求你输入你的密码的时候,用户需要谨慎。360安全卫士能完美查杀该木马
标签:
原文地址:http://www.cnblogs.com/kangxiaopao/p/4685349.html
