QQ粘虫最新变种技术分析【XHQQ大盗】

QQ粘虫作案流程

一、干扰QQ正常运行，比如不停最小化窗口，禁用QQ窗口等，造成QQ掉线的假象；

二、展示伪装QQ登录的钓鱼窗口，诱骗受害者输入QQ号和密码；

三、将受害者输入的QQ密码数据传给盗号者；

四、恢复QQ正常运行。

最新粘虫变种的代码与逻辑分析

进程启动，隐藏自身：

注册窗口，接收消息：

查找

通过内存暴搜Msg3.0.db，在其之前，就是QQ号码

木马常用的方法，还有找OP标志位：

找ADUIN等，方法均大同小异，通过内存特征，定位到QQ号码：

之后查找任务栏，拿到handle备用

查找前台窗口，寻找类名称是TXGiFondation的窗口，这也是盗号木马中，找QQ窗口的通用方法。

检测到QQ窗口存在后，等待8秒钟，创建钓鱼使用的窗口：

钓鱼窗口使用到的资源：

在另一个线程中，向QQ发送最小化消息，之后显示木马窗口。

木马作者之前使用的是WM_SHOWWINDOW和WM_HIDEWINDOW，最近改用MINIMIZE和EnableWindow的消息了。

EnableWindow消息

通过最小化QQ窗口，隐藏QQ窗口，禁用QQ窗口等方法影响QQ正常工作。

客户端展示的木马钓鱼窗口：

在窗口的消息处理中，中招者无论第一次输入什么密码，均会提示密码错误，要求再次输入密码，两次输入的密码均会发给木马后台：

木马发信方式

木马发信中，写死了收信的IP地址，114.215.203.191 来自：北京市创联万网国际信息技术有限公司

发信使用的WinSock标准的TCP连接发信的：

完成操作之后，注入calc进行自删除:

也有部分木马，使用COM接口，调用浏览器，打开本地文件的方式发信：

代码中可以看到，这是一个叫XH QQ大盗 Vip的木马：

中招现象

防护措施

360安全卫士“云主动防御”基于对QQ粘虫的全面追踪和深入分析，通过行为规则识别并拦截QQ粘虫木马家族，即便是最新出现的粘虫变种也可以全面拦截。

转发来自：http://blog.sina.com.cn/s/blog_621a7f1b0102v1l2.html

@980691659

我能说，我中过招么?  而且样本我也分析了，只是没有分析的这么全

CracKingMe 发表于 2015-7-15 21:31
我能说，我中过招么?  而且样本我也分析了，只是没有分析的这么全

求地址

优秀的分析GOOD。

自行看我发布过的源码！

分析的很详细啊楼主

[快捷回复]-感谢楼主热心分享！

楼主威武！！！！！！