群邮件木马变种

0x0 故事

公司团队已经对“加速器”系列QQPass进行了分析。
但是，该木马作者又继续对该木马进行升级，来提高木马的能力。我从群邮件中捕获到了最新变种木马，下面，对该木马进行分析。

0x1 分析

在发稿时，显示的是1月上传的蓝奏云盘，说明样本很新。
但是，找到之前的链接后，木马作者取消了分析。

但是，我拿到了样本，对比一下md5和修改时间，发现并不是同一个，说明该木马为变种木马。

目前已有多款杀软支持查杀和拦截。

0x2 逆向

查壳发现他根本就没加壳，心也是够大。

既然没加壳就IDA载入。搜索字符串“QQ”。相比之下，我这个样本要容易分析多了。

可以看到，木马想通过这种方式获取QQclientkey，先暂且不说是否成功，我们继续往下看。

又对特定网址进行通信，但是我使用了“360云沙箱”，“微步云沙箱”，“虚拟机”，“实机”，仍不能对其进行通信，可以说可能是挂掉了。还有其他网址，我对其进行连接，也失败了......说明作者的服务质量不太好呀。

作者的网站已经连不上了......

又对steam这款“勒索软件”下手了，难道不考虑G胖的感受吗？

在木马中发现Steam.exe字符串

应该是对Steam进行某种特殊的动作，我运行之后发现，原来是......

查找特定窗口，也就是说查找了Steam.exe的窗口

尝试注入该进程svchost.exe。

开始疯狂地读取文件和注入进程。

加载全局HOOK（钩子）WH_CBT - SetWindowsHook。使用键盘模拟用户操作。

释放了几个易语言的支持库。

在内网玩数据包传递（根本就没发出去）

0x3 总结

首先我要给这个作者一个差评，为什么要写这么烂的一个木马，使得它不能传数据包？只要不要使用来路不明的软件就应该不会中招的。

本文始发于微信公众号（疯猫网络）：QQ群邮件木马变种分析