群邮件木马变种
0x0 故事
公司团队已经对“加速器”系列QQPass进行了分析。
但是,该木马作者又继续对该木马进行升级,来提高木马的能力。我从群邮件中捕获到了最新变种木马,下面,对该木马进行分析。
0x1 分析
在发稿时,显示的是1月上传的蓝奏云盘,说明样本很新。
但是,找到之前的链接后,木马作者取消了分析。
但是,我拿到了样本,对比一下md5和修改时间,发现并不是同一个,说明该木马为变种木马。
目前已有多款杀软支持查杀和拦截。
0x2 逆向
查壳发现他根本就没加壳,心也是够大。
既然没加壳就IDA载入。搜索字符串“QQ”。相比之下,我这个样本要容易分析多了。
可以看到,木马想通过这种方式获取QQclientkey,先暂且不说是否成功,我们继续往下看。
又对特定网址进行通信,但是我使用了“360云沙箱”,“微步云沙箱”,“虚拟机”,“实机”,仍不能对其进行通信,可以说可能是挂掉了。还有其他网址,我对其进行连接,也失败了......说明作者的服务质量不太好呀。
作者的网站已经连不上了......
又对steam这款“勒索软件”下手了,难道不考虑G胖的感受吗?
在木马中发现Steam.exe字符串
应该是对Steam进行某种特殊的动作,我运行之后发现,原来是......
查找特定窗口,也就是说查找了Steam.exe的窗口
尝试注入该进程svchost.exe。
开始疯狂地读取文件和注入进程。
加载全局HOOK(钩子)WH_CBT - SetWindowsHook。使用键盘模拟用户操作。
释放了几个易语言的支持库。
在内网玩数据包传递(根本就没发出去)
0x3 总结
首先我要给这个作者一个差评,为什么要写这么烂的一个木马,使得它不能传数据包?只要不要使用来路不明的软件就应该不会中招的。
本文始发于微信公众号(疯猫网络):QQ群邮件木马变种分析
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论