先讓我們來看看這款木馬的介紹。
目前為止,最牛X的QQ木馬。可以獲取用户Q幣數量、遊戲幣數量、QQ積分、QQ遊戲點等信息。完美破解QQ2006鍵盤保護,密碼框不會出現紅叉叉, 所有版本QQ通殺,包括最新的QQ2006 Beta2。採用特殊的線程插入技術,無啟動項,無進程, 突破各類防火牆(如:天網、卡巴、瑞星、金山網鏢、江民……)。採用同類QQ木馬當中,絕對領先的技術,準確獲取QQ密碼,絕無偏差。用户登陸成功後再發信,從而杜絕重複發信、密碼錯誤發信情況,不在收取重複信件,提高軟件工作效率立即刪除自身,讓木馬不留痕跡。具有定時關閉QQ和防重複運行的功能!下面是截圖:
看的出來,這款密碼盜取軟件針對目前國內外的主流桌面防火牆軟件作出了針對性的改進,且具有很高的隱蔽性,一旦運行了木馬的EXE,它就幾乎徹底隱藏了自己,就象廣告中説的一樣,無啟動項,無進程。常規的檢測工具要檢測它具有一定的難度,所以這款木馬生成器生成的木馬對於普通用户來説具有相當大的殺傷力。
木馬分析
接下來我們來看看該木馬的工作流程:
木馬在獲得啟動運行後,就會將複製一個備份到C:Program FilesInternet ExplorerPLUGINS,並重命名為(其實這還是一個EXE文件)並將其文件屬性設為隱藏和系統然後在C:Program FilesInternet ExplorerPLUGINS釋放出(其實這是一個DLL文件)。
這時候木馬會在系統註冊表內註冊一個CLASSID
HKCRCLSID
並將該CLSID和C:Program FilesInternet 聯繫在一起。然後將該CLSID添加添加到註冊表的ShellExecuteHooks下
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
=""
(老鳥這時候就會説了,原來它的無啟動項和特殊的線程插入技術就是這麼實現的啊…)
內含有鈎子WH_GETMESSAGE。
在木馬下完鈎子後,完成盜取QQ密碼的準備工作後就創建一個名為的批處理文件,用於刪除木馬的EXE文件和批處理自身.這樣它在系統中就是”無進程”了。
這裏有個插曲,木馬的作者會給分析人員一些留言,內容如下:
wodexiaoshihouchaonaorenxingdeshihou
waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang
tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai
由於我的國小拼音實在不怎麼樣,而且由於時間關係,所以這個內容留給感興趣的人來解讀吧。(沒有標點符號的文章實在很難讀啊)。
這時如果啟動QQ,通過ShellExecuteHooks,就會插入到QQ的進程空間中去了。
這時候木馬會在系統註冊表內註冊一個CLASSID
HKCRCLSID
並將該CLSID和C:Program FilesInternet 聯繫在一起。然後將該CLSID添加添加到註冊表的ShellExecuteHooks下
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
=""
(老鳥這時候就會説了,原來它的無啟動項和特殊的線程插入技術就是這麼實現的啊…)
內含有鈎子WH_GETMESSAGE。
在木馬下完鈎子後,完成盜取QQ密碼的準備工作後就創建一個名為的批處理文件,用於刪除木馬的EXE文件和批處理自身.這樣它在系統中就是”無進程”了。
這裏有個插曲,木馬的作者會給分析人員一些留言,內容如下:
wodexiaoshihouchaonaorenxingdeshihou
waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang
tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai
由於我的國小拼音實在不怎麼樣,而且由於時間關係,所以這個內容留給感興趣的人來解讀吧。(沒有標點符號的文章實在很難讀啊)。
這時如果啟動QQ,通過ShellExecuteHooks,就會插入到QQ的進程空間中去了。
根據我的使用經驗,能讓進程防護危險等級框拉到底的絕大多數都是木馬病毒等非正常程序了。
實驗需要,我們放過該木馬,允許它運行。
啟動QQ運行,並查看其進程模塊,可以看到,進程空間內已經無法注入到QQ的進程中去。看來,終截者對ShellExecuteHook方式的線程注入還是有防禦手段是非常成功有效的。既然不能注入到QQ進程空間中,那麼截取密碼當然也就無從談起了。我們在查看指定接收密碼的郵箱,裏面自然一無所獲。
就這樣一場QQ密碼的攻防戰就在用户毫不知情的狀況中發生和結束了。
用户唯一的線索大概就要到關閉QQ時,查看詳細信息時才能從模塊信息列表中看到木馬曾經來過的蛛絲馬跡。
各位看官看到這,相比結果已經明瞭了,接下來就是打掃戰場的工作了。從前面的木馬分析中可以看到,木馬殘留在系統中有兩個文件
C:Program FilesInternet
C:Program FilesInternet
所以用户要做的事情就是刪除這兩個文件。但還在其他進程中運行,此時是不能刪除的。
這時候,終截者的另一大特色功能就能派上用處了。
點擊後重啟,就運行到一個絕對純淨的環境中(不要將其等同於系統的安全模式)在這裏你就能很輕易地刪除上述兩個木馬文件了。至此,木馬清理完畢。
結束語
這次終截者遭遇的對手是利用ShellExecuteHook技術進行密碼盜取的木馬。看的出來,終截者的研發人員針對這種技術提供了有效的防禦方案,所以才能輕鬆獲勝。據我所知,這在同類軟件中能做到的並不多,可以説是寥寥無己。而且終截者的能力遠不止於此,那麼終截者的下一個對手會是誰呢?