首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]易语言QQ钓鱼程序简单分析
发表于: 2017-4-22 15:13 9420

[原创]易语言QQ钓鱼程序简单分析

maxk 活跃值
1
2017-4-22 15:13
9420

水平有限 请轻喷.

这是一个易语言写的钓鱼程序,把自己伪装成一个QQ安全中心界面.



其实我也没用过易语言,但在我看来(可能是我水平不高看不出来) 病毒内部循环繁杂无章,启动较慢...

 

简单差了一下程序没有加壳



病毒很简单没加壳,这也是我第一次分析易语言. 没有什么特别的技巧,OD载入跟随.

 

具体过程很简单F8如果程序跑起来就断点,跟进去繁杂的过程就不写了,没什么意思

下面来看看几个比较有意思的地方



发现setwindowspos函数发现这里有一个循环.果断下断点

第一次到这个函数,出现这样的选项

看到这里窗口句柄居然有一串中文   觉得很可能是一个模板木马生成的东西.

中共运行8次之后才跑过此段点,8个窗口? 想做什么?.

 

继续跟进,里面循环函数实在太多, 估计是作者为我们设置的障碍什么的,果断放弃了继续跟随.直接让程序跑起来.

随便输入一个账户和密码,发现会弹出一个MessageBox 消息框.  


 

 

返回OD  CTRL+N找到MessagBox下断点.


 

然后重新来一次.. 在此画个圈圈诅咒作者把程序写的这么慢,让我等好久.

果然在此处断了下来,


 

然后ctrl+k 显示堆栈调用


 

进入上面这个地址,就是他调用的messagbox


然后往上看,发现还是一个被调用的函数..

再看看堆栈窗口



[注意]看雪招聘,专注安全领域的专业人才平台!

上传的附件:
收藏
免费 1
支持
分享
最新回复 (7)
大只狼
雪    币: 1140
活跃值: (102)
能力值: ( LV4,RANK:48 )
在线值:
发帖
回帖
粉丝
私信
2
请问下,你最后那添加yaar规则扫描,是什么东西?干什么用啊
2017-4-22 16:22
0
maxk
雪    币: 365
活跃值: (126)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
3
大只狼 请问下,你最后那添加yaar规则扫描,是什么东西?干什么用啊
yara    打错了    ....        百度    yara规则    有很多资料

2017-4-22 17:06
0
空白即是正义
雪    币: 2347
活跃值: (58)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
分析过程学习了~
2017-4-22 18:32
0
CRoot
雪    币: 3438
活跃值: (1578)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
5
如果一开始搜索一下字符串  貌似更简单一丢丢吧?
2017-4-24 09:32
0
hzqst
雪    币: 12862
活跃值: (9282)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
6
LZ功力不够啊..完整的分析应该是:
0x00  分析样本  抓出URL
0x01  扫URL上的洞入侵服务器,并在服务器上种个马
0x02  根据服务器访问日志定位到样本作者,找机会用浏览器用0day之类的东西或者社会工程学给样本作者挂马
0x03  搜刮样本作者的电脑,并给其手机(开了USB调试的话)挂马,扒出其真实姓名、住址、身份证号、女友名字、内裤颜色等信息
0x04  。。。

看这个样本作者顶多高中生,想吓唬吓唬他还是挺容易的
2017-4-24 10:11
0
wanc
雪    币: 36
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
0x04  公开其所有私人资料,然后交给中国警察,嘿嘿
2017-4-26 17:13
0
myangel
雪    币: 1795
活跃值: (63)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
8
0x04  按楼上这么说,如果发现是个美女,还可以来个肉偿
2017-6-2 12:53
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回