关于部分网吧QQ盗号现象分析报告(全新的盗号方式过QQprotect检测)

转自 战争贩子

部分网吧发现QQ木马盗号的现象，主要是体现着以下几点：

1、木马执行不规律，木马行为与策略相关联。

2、就了解到的情况来看，感染QQ2013为主。

3、破坏QQ文件，全局dll注入。修改微软官方模块rasman.dll,使系统指向假的rasman.dll，执行完病毒代码之后再指向真的rasmanorg.dll。

4、QQ被破坏，按登录键进程直接退出。

• 相关文件
  

暂时查到病毒下载器为C:\windows\debug\QQprotect.exe

病毒主体应该是：C:\programfiles\intel\随机数.exe

被感染的文件；C:\windows\system32\rasman.dll   QQPath\bin\qq.exe

父进程据报告极有可能是：Flash_ActiveX.exe2013年顺网爆发过相关漏洞

• 环境
  

多种网吧计费，游戏更新环境。共同点使用P某in系统。

• 详细分析
  

一、QQprotect.exe 分析

病毒爆发时间十月7号至十月11号下午；客户机执行Hips工具时病毒不执行；11号下午病毒策略下载网站突然无法打开。

按照进程排除的办法，确定病毒文件为QQprotect.exe，提取出本文件在纯净的虚拟机中执行，发现QQ进程在几分到几十分钟左右掉线。之后QQ文件被恶意篡改，登录QQ的时候QQ直接崩溃。与客户反馈的症状相符。

1、脱UPX壳，利用OD打开QQprotect程序进行跟踪，首先程序判断自身是否在C:\windows\Debug目录下，如果不再复制自身然后进行自删除。 （图1）

图1

然后退出进程运行复制之后的程序。

2、继续执行下去，到如下函数。进入该函数，发现程序下载了一个log文件。（图2）

图2 配置文件下载CALL

进入该函数发现，系统从

                               
登录/注册后可看大图

下载到系统的C:\windows\debug\PASSWDS.LOG中。 （图3）

图3

由于11号下午病毒突然不执行，策略文件无从得到，后面的所以与策略文件有关的判断及跳转均为笔者模拟的病毒行为。

3、下载完成之后，系统开始读取配置文件内容，并且通过配置文件中的内容进行解析。

4、病毒根据配置文件的信息，在C:\Program Files\inter下载生成了一个随机数的exe。（图4、

5）

图4 构造文件目录

图5 生成随机exe路径

由于配置文件缺失，该exe文件没有下载成功。但是几乎可以确定是QQ木马。因为整个程序就下载过这一次exe程序。

5、之后，系统先检测某些进程是否执行，由于函数参数为空，笔者跟踪了一下，发现是配置文件中保存的（笔者没下载到策略文件，自己随便建立的空文件）。有可能是判断安全软件是否执行的函数。（图5）

二、rasman.dll 分析

文件大小及属性被篡改（如图6）

图 6

输出函数（EAT）被修改

OD分析Dll程序发现敏感盗号字符串 (图7)

图7 明显的收信机制

该函数在偏移0x340处，病毒发作的时候已经成功的注入到QQ的进程中，还不清楚该dll是如何盗取的QQ密码，但是此模块应该就是发信模块了，系统利用随机.exe下载了该dll，然后unmap一下这个dll，然后映射上自己的假DLL。注入腾讯之后获取腾讯的内存空间内容。

回溯追查了一下，发现是以线程的形式启动的，该函数处于 $+0x1480处。（图8）

回溯之后有了重大发现，可以确定该文件为仿造微软的盗号模块。下图为盗号木马的核心代码。(这个地址的代码完全可以提供盗号的新思路)

这里非常重要，直接loadLoginUI.dll后面我发现 他直接创建控件，也就是说把UI修改，输入的密码直接输入到他的文本框中。loadLoginUI中的导出函数是谁教他的，如何定义的是如何知道的？腾讯什么时候和微软合作了？

继续往下看，程序开始动态的写控件啦，如图：

作者竟然还做的日志 --！

作者在记录时间！

访问空间的时候，修改了内存的属性。

通过网络查询出来的结果

策略地址：http://v.5youka.com/tj/count.php 已经无法访问了

IDC：

• 总结
  

由于有特殊的保护机制，无法查出是哪个进程调用的该程序，启动较早，父进程可能随开机启动，无法排查。

解决方法如下：

方案1、Host跳转，禁止策略的获取。网址为：http://v.5youka.com

方案2、升级QQ到最新版本，发现这个病毒只支持QQ2013，尽量不用这种办法。

方案3、可以在禁止启动的进行的列表中增加C:\windows\debug\QQprotect.exe

注入微软DLL确实是一种特别强大的办法，然后利用注入到进程的空间模块，提升自身的权限，然后重写腾讯的控件。作者真是深思熟虑啊。

牛逼 的 大神 膜拜

有点难看懂,很多代码不知道干嘛用的

感觉很牛逼

牛逼  楼主

话说分析木马病毒不是用ida的吗？

膜拜大神！谢谢分享

[快捷回复]-感谢楼主热心分享！

[快捷回复]-学破解防逆向，知进攻懂防守！

感谢楼主热心分享！