0×01
今天早上刚起来,一个朋友就发给我一个文件,一看文件的名字是拿货清单.tbz2,我 感觉是病*,然后就打电话告诉我的那个朋友,她的QQ号码可能被盗了,让她赶快修改密码,她改完之后,这件事情本来应该结束的,因为我的好奇心,还有发现这个木马是免杀的,所以就去分析了下这个木马,然后就有了后来的事情。
0×02
样本图标:
是不是感觉很诡异,压缩前的文件竟然比压缩后的文件还要大K,我用Winhex打开,发现里面有这个完整的PE,才看了下原来压缩比例是%,根本就没进行压缩算法,而且在压缩包的文件末尾还加了好多没用的数据,看来这作者是在构建畸形压缩包,起到QQ传输木马不被发现里面包含PE的作用。
0×03
用户通过打开压缩包,双击运行压缩包里的木马后,木马会运行起来,然后从自身资源释放一张图片到电脑上,通过系统调用打开图片,起到迷糊用户的目的,用户以为打开的是图片,如图:
但是他们不知道其实木马还没结束,它会把自身复制到临时目录下,然后通过WinExec这个API,传递第二个参数是SW_HIDE把自身重新运行起来,如图:
再次运行起来的木马,因为是隐藏运行的,所以会走下面的木马流程,如图:
注册一个窗口:
动态创建控件,伪装QQ重新登录的界面,如图:
设置控件的风格,如图:
构造的界面如图所示,感觉挺真的,不认真看真看不出来:
解密字符串,解密出腾讯的窗口类型,如图:
设置定时器,监控QQ窗口是否被激活,如图:
通过NtSuspendProcess把QQ进程挂起,弹出钓鱼的界面,如图:
定时器函数里的作用就是,每过固定间隔,检测一下窗口类为TXGuiFoundation的窗口是否存在,如果存在的话,就弹出钓鱼的窗口,如图:
用户点登陆后,会弹出2次,如果2次密码输入的一样,就会把密码发送到远程服务器,如图:
这是发送到远程服务器的地址,如图:
#p#0×04
通过对这个地址的挖掘,发现南京白癜风专科医院白癜风早期有哪些症状