[原创]一款QQ盗号木马的分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]一款QQ盗号木马的分析

发表于: 2006-12-10 21:35 28150

[原创]一款QQ盗号木马的分析

CCDebuger

2006-12-10 21:35

28150

查看主题内容

收藏・6

免费・7

支持

最新回复 (64) ◀ 1 2 3 ▶
小p孩雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	小p孩 26 楼我菜鸟还有很多不懂的！ 2006-12-11 12:49 0
WAKU 雪币： 179 活跃值： (131) 能力值： ( LV12，RANK：290 ) 在线值：发帖 32 回帖 501 粉丝 0 关注私信	WAKU 7 27 楼用他的电话贴小广告,办证或卖器官啥的 2006-12-11 12:53 0
bxm 雪币： 461 活跃值： (93) 能力值： ( LV9，RANK：1170 ) 在线值：发帖 41 回帖 306 粉丝 1 关注私信	bxm 29 28 楼强,像我的水平是弄不来的 2006-12-11 13:00 0
冰雹雪币： 205 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	冰雹 29 楼下了附件解压后程序不见了，只留下文章。以为被卡巴杀了!一看卡巴没记录!无语! 2006-12-11 13:10 0
sbright 雪币： 146 活跃值： (33) 能力值： ( LV6，RANK：90 ) 在线值：发帖 120 回帖 995 粉丝 0 关注私信	sbright 2 30 楼最初由 CCDebuger* 发布* nbw 在一起工作的? 2006-12-11 13:14 0
冰雹雪币： 205 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	冰雹 31 楼真晕呀!在公司里无聊中想上来逛看了楼主文章顺便把附件下下来看看文章里还写些什么解压后进目录里程序就不见许是运行了!在公司里是不可能摆弄这程序!请楼主把木马生成的文件和修改什么程序都贴一下我清除它!不然麻烦大了! 2006-12-11 13:24 0
backuper 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 202 粉丝 0 关注私信	backuper 32 楼最初由冰雹发布真晕呀! 请楼主把木马生成的文件和修改什么程序都贴一下我清除它! 不然麻烦大了! 呵呵 2006-12-11 13:52 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 33 楼系统目录有个dll，注册表项目里面需要删除一个东西，硬盘每个分区有一个引发自启动的配置文件，同时根目录下有个隐藏的exe。至少是这些东西需要删除。具体我也没看。你可以安装一个删除QQ木马的工具查一下： http://safe.qq.com 2006-12-11 14:09 0
冰雹雪币： 205 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	冰雹 34 楼唔!我去看看! 2006-12-11 14:27 0
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 35 楼支持大家靠人肉长城,谴责他啊 2006-12-11 14:42 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 36 楼最初由冰雹发布真晕呀!在公司里无聊中想上来逛看了楼主文章顺便把附件下下来看看文章里还写些什么解压后进目录里程序就不见许是运行了!在公司里是不可能摆弄这程序!请楼主把木马生成的文件和修改什么程序都贴一下我清除它!不然麻烦大了! 汗，我加了密码，还作了提示你还运行了？具体后面的东西我没看，前面大致看到这些东西： 1、注册表添加： SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExec 2、在系统根目录的\Program Files\Common Files\Microsoft Shared\MSINFO\下生成以系统卷标号命名的dll文件，属性是系统、隐藏的。 3、好像还把系统目录下的verclsid.exe改成了verclsid.exe.bak。 4、再找找看系统里有没有类似NTdhcp.dat、NTdhcp.dll、NTdhcp.hlp这样的东西。我还是把附件删除吧，省得麻烦。 2006-12-11 15:09 0
mejy 雪币： 239 活跃值： (220) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 109 粉丝 1 关注私信	mejy 3 37 楼哇塞学习了，呵呵。木马比流氓软件强点 2006-12-11 16:09 0
yfyfj 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	yfyfj 38 楼我也中过这病毒，上次也发给大家看了。不过我没有分析出是哪个XX人放的马。。郁闷` 2006-12-11 18:23 0
倒记时雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	倒记时 39 楼我有时候真的不明白，这些人想做什么，搞ＱＱ号 2006-12-11 18:50 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 40 楼最初由 yfyfj* 发布* 我也中过这病毒，上次也发给大家看了。不过我没有分析出是哪个XX人放的马。。郁闷` 这人比较聪明一点，用的是网页收信： http://www.q520.cn/qqxin/qq.asp 注意：刚才搜索了一下网络，这个http://www.q520.cn/是个恶意网站，请不要访问他的主页。 2006-12-11 21:09 0
georcent 雪币： 238 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	georcent 41 楼学写了，真实厉害的搂住 2006-12-11 21:23 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 42 楼我前些天也中了个木马,但还不会分析,这木马还做了免杀,我的杀软都没发现他,先留着,以后再玩 2006-12-11 21:35 0
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 43 楼探测主机：222.180.37.22 服务检测 HTTP->Windows NT 6.1 //windwos2003 服务检测 FTP-> 220 Serv-U FTP Server v6.0 for WinSock ready... 检测 Port-> 222.180.37.22 端口 21 [ftp] 开放 ...OK 检测 Port-> 222.180.37.22 端口 80 [http] 开放 ...OK 检测 Port-> 222.180.37.22 端口 3389 [Terminal] 开放 ...OK 没发现什么漏洞...旁注未果. 估计是一台个人电脑.IP ： 222.180.37.22 地址：重庆市电信丢QQ的朋友去报警吧. 2006-12-11 21:45 0
yfyfj 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	yfyfj 44 楼严重BS 盗号者。还好我一发现不妥就把密码改了。不然我QQ就没有了，我还是7位，号码也算还不错的`` 感谢CCDebuger分析那木马 2006-12-12 01:08 0
traso 雪币： 232 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 23 粉丝 0 关注私信	traso 45 楼我还没调试过木马, 本来想在你的带领下调试会木马的, 想不到你已经删除了, 55555555555555555555555 想学习的就不该怕死. 2006-12-12 09:35 0
xucheng 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	xucheng 46 楼分析得很仔细啊，好帖，顶之！ 2006-12-12 10:10 0
hhgz 雪币： 200 能力值： (RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	hhgz 47 楼魔高一尺，道高一丈。我感觉楼主像是在实验室工作的。 2006-12-12 12:05 0
jshx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	jshx 48 楼最初由 nbw* 发布* 不能说“就是”，但至少是“相关”，所谓瓜田不提鞋，李下不摘帽，在杀人现场发现了你的指纹，就可以判你刑，你说天啊不是你干的，那你就要弄个证据证明一下。你在我瓜田提鞋我丢了瓜你又没证据自己没干那就不好办了典型的有罪推论在法律上可是不允许的 2006-12-12 14:13 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 49 楼增长见识. 学习.等有银子买个好点的电脑装虚拟机搞一搞. 2006-12-12 14:20 0
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 50 楼最初由 jshx* 发布* 典型的有罪推论在法律上可是不允许的很正常的有罪推论 2006-12-12 14:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

CCDebuger

390

发帖

1934

回帖

990

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (64) ◀ 1 2 3 ▶
小p孩雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	小p孩 26 楼我菜鸟还有很多不懂的！ 2006-12-11 12:49 0
WAKU 雪币： 179 活跃值： (131) 能力值： ( LV12，RANK：290 ) 在线值：发帖 32 回帖 501 粉丝 0 关注私信	WAKU 7 27 楼用他的电话贴小广告,办证或卖器官啥的 2006-12-11 12:53 0
bxm 雪币： 461 活跃值： (93) 能力值： ( LV9，RANK：1170 ) 在线值：发帖 41 回帖 306 粉丝 1 关注私信	bxm 29 28 楼强,像我的水平是弄不来的 2006-12-11 13:00 0
冰雹雪币： 205 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	冰雹 29 楼下了附件解压后程序不见了，只留下文章。以为被卡巴杀了!一看卡巴没记录!无语! 2006-12-11 13:10 0
sbright 雪币： 146 活跃值： (33) 能力值： ( LV6，RANK：90 ) 在线值：发帖 120 回帖 995 粉丝 0 关注私信	sbright 2 30 楼最初由 CCDebuger* 发布* nbw 在一起工作的? 2006-12-11 13:14 0
冰雹雪币： 205 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	冰雹 31 楼真晕呀!在公司里无聊中想上来逛看了楼主文章顺便把附件下下来看看文章里还写些什么解压后进目录里程序就不见许是运行了!在公司里是不可能摆弄这程序!请楼主把木马生成的文件和修改什么程序都贴一下我清除它!不然麻烦大了! 2006-12-11 13:24 0
backuper 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 202 粉丝 0 关注私信	backuper 32 楼最初由冰雹发布真晕呀! 请楼主把木马生成的文件和修改什么程序都贴一下我清除它! 不然麻烦大了! 呵呵 2006-12-11 13:52 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 33 楼系统目录有个dll，注册表项目里面需要删除一个东西，硬盘每个分区有一个引发自启动的配置文件，同时根目录下有个隐藏的exe。至少是这些东西需要删除。具体我也没看。你可以安装一个删除QQ木马的工具查一下： http://safe.qq.com 2006-12-11 14:09 0
冰雹雪币： 205 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	冰雹 34 楼唔!我去看看! 2006-12-11 14:27 0
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 35 楼支持大家靠人肉长城,谴责他啊 2006-12-11 14:42 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 36 楼最初由冰雹发布真晕呀!在公司里无聊中想上来逛看了楼主文章顺便把附件下下来看看文章里还写些什么解压后进目录里程序就不见许是运行了!在公司里是不可能摆弄这程序!请楼主把木马生成的文件和修改什么程序都贴一下我清除它!不然麻烦大了! 汗，我加了密码，还作了提示你还运行了？具体后面的东西我没看，前面大致看到这些东西： 1、注册表添加： SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExec 2、在系统根目录的\Program Files\Common Files\Microsoft Shared\MSINFO\下生成以系统卷标号命名的dll文件，属性是系统、隐藏的。 3、好像还把系统目录下的verclsid.exe改成了verclsid.exe.bak。 4、再找找看系统里有没有类似NTdhcp.dat、NTdhcp.dll、NTdhcp.hlp这样的东西。我还是把附件删除吧，省得麻烦。 2006-12-11 15:09 0
mejy 雪币： 239 活跃值： (220) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 109 粉丝 1 关注私信	mejy 3 37 楼哇塞学习了，呵呵。木马比流氓软件强点 2006-12-11 16:09 0
yfyfj 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	yfyfj 38 楼我也中过这病毒，上次也发给大家看了。不过我没有分析出是哪个XX人放的马。。郁闷` 2006-12-11 18:23 0
倒记时雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	倒记时 39 楼我有时候真的不明白，这些人想做什么，搞ＱＱ号 2006-12-11 18:50 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 40 楼最初由 yfyfj* 发布* 我也中过这病毒，上次也发给大家看了。不过我没有分析出是哪个XX人放的马。。郁闷` 这人比较聪明一点，用的是网页收信： http://www.q520.cn/qqxin/qq.asp 注意：刚才搜索了一下网络，这个http://www.q520.cn/是个恶意网站，请不要访问他的主页。 2006-12-11 21:09 0
georcent 雪币： 238 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	georcent 41 楼学写了，真实厉害的搂住 2006-12-11 21:23 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 42 楼我前些天也中了个木马,但还不会分析,这木马还做了免杀,我的杀软都没发现他,先留着,以后再玩 2006-12-11 21:35 0
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 43 楼探测主机：222.180.37.22 服务检测 HTTP->Windows NT 6.1 //windwos2003 服务检测 FTP-> 220 Serv-U FTP Server v6.0 for WinSock ready... 检测 Port-> 222.180.37.22 端口 21 [ftp] 开放 ...OK 检测 Port-> 222.180.37.22 端口 80 [http] 开放 ...OK 检测 Port-> 222.180.37.22 端口 3389 [Terminal] 开放 ...OK 没发现什么漏洞...旁注未果. 估计是一台个人电脑.IP ： 222.180.37.22 地址：重庆市电信丢QQ的朋友去报警吧. 2006-12-11 21:45 0
yfyfj 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	yfyfj 44 楼严重BS 盗号者。还好我一发现不妥就把密码改了。不然我QQ就没有了，我还是7位，号码也算还不错的`` 感谢CCDebuger分析那木马 2006-12-12 01:08 0
traso 雪币： 232 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 23 粉丝 0 关注私信	traso 45 楼我还没调试过木马, 本来想在你的带领下调试会木马的, 想不到你已经删除了, 55555555555555555555555 想学习的就不该怕死. 2006-12-12 09:35 0
xucheng 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	xucheng 46 楼分析得很仔细啊，好帖，顶之！ 2006-12-12 10:10 0
hhgz 雪币： 200 能力值： (RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	hhgz 47 楼魔高一尺，道高一丈。我感觉楼主像是在实验室工作的。 2006-12-12 12:05 0
jshx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	jshx 48 楼最初由 nbw* 发布* 不能说“就是”，但至少是“相关”，所谓瓜田不提鞋，李下不摘帽，在杀人现场发现了你的指纹，就可以判你刑，你说天啊不是你干的，那你就要弄个证据证明一下。你在我瓜田提鞋我丢了瓜你又没证据自己没干那就不好办了典型的有罪推论在法律上可是不允许的 2006-12-12 14:13 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 49 楼增长见识. 学习.等有银子买个好点的电脑装虚拟机搞一搞. 2006-12-12 14:20 0
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 50 楼最初由 jshx* 发布* 典型的有罪推论在法律上可是不允许的很正常的有罪推论 2006-12-12 14:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复