看的出来,这款密码盗取软件针对目前国内外的主流桌面防火墙软件作出了针对性的改进,且具有很高的隐蔽性,一旦运行了木马的EXE,它就几乎彻底隐藏了自己,就象广告中说的一样,无启动项,无进程。常规的检测工具要检测它具有一定的难度,所以这款木马生成器生成的木马对于普通用户来说具有相当大的杀伤力。
木马分析
接下来我们来看看该木马的工作流程:
木马在获得启动运行后,就会将复制一个备份到C:Program FilesInternet ExplorerPLUGINS,并重命名为qn911.dll(其实这还是一个EXE文件)并将其文件属性设为隐藏和系统然后在C:Program FilesInternet ExplorerPLUGINS释放出qn911.sys(其实这是一个DLL文件)。
这时候木马会在系统注册表内注册一个CLASSID
HKCRCLSID
并将该CLSID和C:Program FilesInternet ExplorerPLUGINSqn911.sys联系在一起。然后将该CLSID添加添加到注册表的ShellExecuteHooks下
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
=""
(老鸟这时候就会说了,原来它的无启动项和特殊的线程插入技术就是这么实现的啊…)
Qn911.sys内含有钩子WH_GETMESSAGE。
在木马下完钩子后,完成盗取QQ密码的准备工作后就创建一个名为MicroSoft.bat的批处理文件,用于删除木马的EXE文件和批处理自身.这样它在系统中就是”无进程”了。
这里有个插曲,木马的作者会给分析人员一些留言,内容如下:
wodexiaoshihouchaonaorenxingdeshihou
waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang
tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai
由于我的小学拼音实在不怎么样,而且由于时间关系,所以这个内容留给感兴趣的人来解读吧。(没有标点符号的文章实在很难读啊)。
这时如果启动QQ,通过ShellExecuteHooks,qn911.sys就会插入到QQ的进程空间中去了。
这时候木马会在系统注册表内注册一个CLASSID
HKCRCLSID
并将该CLSID和C:Program FilesInternet ExplorerPLUGINSqn911.sys联系在一起。然后将该CLSID添加添加到注册表的ShellExecuteHooks下
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
=""
(老鸟这时候就会说了,原来它的无启动项和特殊的线程插入技术就是这么实现的啊…)
Qn911.sys内含有钩子WH_GETMESSAGE。
在木马下完钩子后,完成盗取QQ密码的准备工作后就创建一个名为MicroSoft.bat的批处理文件,用于删除木马的EXE文件和批处理自身.这样它在系统中就是”无进程”了。
这里有个插曲,木马的作者会给分析人员一些留言,内容如下:
wodexiaoshihouchaonaorenxingdeshihou
waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang
tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai
由于我的小学拼音实在不怎么样,而且由于时间关系,所以这个内容留给感兴趣的人来解读吧。(没有标点符号的文章实在很难读啊)。
这时如果启动QQ,通过ShellExecuteHooks,qn911.sys就会插入到QQ的进程空间中去了。
根据我的使用经验,能让进程防护危险等级框拉到底的绝大多数都是木马病毒等非正常程序了。
实验需要,我们放过该木马,允许它运行。
启动QQ运行,并查看其进程模块,可以看到,进程空间内qn911.sys已经无法注入到QQ的进程中去。看来,终截者对ShellExecuteHook方式的线程注入还是有防御手段是非常成功有效的。既然qn911.sys不能注入到QQ进程空间中,那么截取密码当然也就无从谈起了。我们在查看指定接收密码的邮箱,里面自然一无所获。
就这样一场QQ密码的攻防战就在用户毫不知情的状况中发生和结束了。
用户唯一的线索大概就要到关闭QQ时,查看详细信息时才能从模块信息列表中看到木马曾经来过的蛛丝马迹。