逆向——基于QQ盗号木马和查杀过程
逆向——基于QQ盗号木马病毒分析和查杀
- 1、木马病毒的定义
- 2、木马病毒的种类和特点
- 3、国内外大事件
- 4、反病毒原理
- 5、工具介绍
- **虚拟机**
- SPY++
- PEID
- **IDA**
- 6、QQ盗号木马介绍
- QQ盗号木马实现模式
- QQ盗号木马分析(这里才是重点,前面是铺垫的)
- 7、手动清理
- 8、QQ盗号木马分析总结
- 9、建议:
1、木马病毒的定义
木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,**是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。**木马病毒其实是计算机黑客用于远程控制计算机的程序,将控制程序寄生于被控制的计算机系统中,里应外合,对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门,伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性,可以根据黑客意图突然发起攻击。
2、木马病毒的种类和特点
木马病毒的种类有:网游木马、网银木马、下载类、代理类、FTP木马、通讯软件类、网页点击类等。
木马病毒的特点:隐蔽性、欺骗性、顽固性、危害性等。
3、国内外大事件
互联网的发展是把双刃剑,即促进了经济发展,又带了危害。计算机病毒事件在我们日常生活中经常突然性地爆发。
1998年11月2日美国发生了“蠕虫计算机病毒”事件,给计算机技术的发展罩上了一层阴影。蠕虫计算机病毒是由美国CORNELL大学研究生莫里斯编写。虽然并无恶意,但在当时,“蠕虫”在Internet.上大肆传染,使得数千台联网的计算机停止运行,并造成巨额损失。美国6000多台计算机被计算机病毒感染,造成Internet不能正常运行。
2006年10月16日,由25岁的湖北武汉新洲区人李俊编写的熊猫烧香(Nimaya)肆虐网络的一款电脑病毒,是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件(该类文件是一系统备份工具“GHOST”的备份文件,删除后会使用户的系统备份文件丢失。),可让文件图标变成“熊猫烧香”图案,并可能出现蓝屏、频繁重启等现象。
4、反病毒原理
检测和分析病毒(查毒)、清除病毒(杀毒)、预防病毒(防毒)。确定可疑情况,看看运行的进程,看看注册表,看看TCP/IP,开放的端口,看看操作系统所在分区的根目录等,比如:360安全卫士等杀毒软件。
5、工具介绍
本次实验所涉及的工具如下:
(1)虚拟机;
(2)QQ;
(3)SPY++;
(4)PEID;
(5)IDA.
虚拟机
虚拟机,在计算机科学中的体系结构裏,是指一种特殊的软件,他可以在计算机平台和终端用户之间创建一种环境,而终端用户则是基于这个软件所创建的环境来操作软件。虚拟机是指可以像真实机器一样运行程序的计算机的软件实现。
虚拟机的作用:
(1)虚拟机提供相对独立演示环境,可以安装各种演示环境,可以安装不同版本的操作系统,如:Linux、Mac、windows等;
(2)在虚拟机中运行软件、病毒等都不会对本机物理机造成危害,达到保护主机,减少不必要的损害及垃圾软件程序,提升了系统的安全性。
SPY++
(1)概述:
Spy++ (SPYXX.EXE) 是一个基于 Win32 的实用工具,它提供系统的进程、线程、窗口和窗口消息的图形视图。使用 Spy++ 可以执行下列操作: 显示系统对象(包括进程、线程和窗口)之间关系的图形树。 搜索指定的窗口、线程、进程或消息。 查看选定的窗口、线程、进程或消息的属性。
Spy++ Lite是一款强有力的编程辅助工具,对分析窗体结构有独到之处。可以以十六进制和十进制两种不同方式显示窗口句柄等所有数值。本软件还可以简单调节窗口的状态和形为,如是否可见,是否可用,最大化,激活等。
(2)功能介绍:
使用微软的SPY++来查看窗口类名等信息,然后进行实现。加载初始界面,如图2-1 SPY++初始界面。
然后点击工具栏的望眼镜,如图2-2 SPY++工具栏。
出现搜索窗口,通过移动靶心到想到要查找句柄的窗口后单击运行,出现它的句柄、标题、类都会显示,如图2-3 SPY++靶心工具。
成功后,如图2-4 SPY++靶心工具1。
通过,点击右键,选择“属性”能得到更多详细信息内容,如图2-5 SPY++属性。
PEID
(1)概述:
PEID(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE文档的加壳类型和签名。
(2)功能扫描模式:
正常扫描模式:可在PE文档的入口点扫描所有记录的签名;
深度扫描模式:可深入扫描所有记录的签名,这种模式要比上一种的扫描范围更广、更深入;
核心扫描模式:可完整地扫描整个PE文档,建议将此模式作为最后的选择。PEiD内置有差错控制的技术,所以一般能确保扫描结果的准确性。前两种扫描模式几乎在瞬间就可得到结果,最后一种有点慢,原因显而易见,如图2-6 PEID工具栏。
(3)命令选项:
peid -time〓 显示信息;
peid -r〓 扫描子目录;
peid -nr〓 不扫描子目录;
peid -hard〓 采用核心扫描模式;
peid -deep〓 采用深度扫描模式;
peid -norm〓 采用正常扫描模式;
(4)主要模块:
●任务查看模块:可以扫描并查看当前正在运行的所有任务和模块,并可终止其运行。
●多文件扫描模块:可同时扫描多个文档。选择“只显示PE文件”可以过滤非PE文档;选择“递归扫描”可扫描所有文档,包括子目录。
●Hex十六进制查看模块:可以以十六进制快速查看文档。
(5)插件:
Krypto ANALyzer;
PEID通用脱壳器;
通用OEP查找器;
Add Signature;
Advanced Scan;
Crc32.
IDA
(1)概述:
IDA PRO简称IDA(Interactive Disassembler) 是一款交互式反汇编工具(静态反汇编工具),可编程的,可扩展的,多处理器的逆向工具。IDA可适用于多种操作系统,如:Windows、OSX和Linux等。
(2)功能介绍:
IDA工具框有(File , Edit , Jump , Search , View , Debugger , Options , Windows , Help)9个模块,如图2- IDA工具栏。
File是打开,新建,装载一个应用程序。
Edit是编辑反汇编代码,可以复制、筛选。
Jump是跳转指令,提供多种类型的跳转,比如:跳转位置跳转,跳转到某个指定的地址,根据函数名字进行跳转,跳转到新的窗口,跳转到偏移量等。
Serach是搜索,可以搜索字符串等。
View是选择显示类型,或者显示某一特定模块信息的。比如:以树形逻辑图显示,16进制形式显示等多种类型显示方式。
Debugger调试器被集成在IDA中,首先我们使用IDA装入文件,来生成数据库,用户可以使用反汇编功能,查看所有反汇编信息,这些均可以在调试器中进行和使用,如下图2- IDA-Debugger多种功能。
图2- IDA-Debugger多种功能
Options是常规性的设置,比如:font:可以改变字体的相关属性等。
Windows是基于Windows下,比如:reset desktop:可以恢复初始ida布局。
Help是提供IDA使用帮助,比如存在不知道可点击寻求帮助等。
6、QQ盗号木马介绍
(1)概述:
QQ盗号木马是具有盗取QQ帐号能力的木马病毒。浏览带有盗号木马病毒的网站时或者打开带有木马病毒的文件时,它会入侵计算机,伺机盗取QQ密码。
用户可通过不登陆来路不名的网站、不点击来历不名的链接、及时安装杀毒软件等方法避免此类木马病毒。
(2)原理:
病毒依附存储介质软盘、硬盘等构成传染源。病毒传染的媒介由工作的环境来定。病毒激活是将病毒放在内存,并设置触发条件,触发的条件是多样化的,可以是时钟,系统的日期,用户标识符,也可以是系统一次通信等。条件成熟病毒就开始自我复制到传染对象中,进行各种破坏活动等。
病毒的传染是病毒性能的一个重要标志。在传染环节中,病毒复制一个自身副本到传染对象中去。
QQ盗号木马实现模式
一般运行模式为:监视用户登陆窗的操作→通过远程端口把操作记录传输给事先设定好的的地点→制作者收到后,把密码和帐号窃取→修改密码,洗劫所有有价值的虚拟物品。
另一种做法,就是当用户打开登陆窗后,病毒以每秒几十万甚至几百万次的速度套取密码,直到成功之后,再把正确的帐号密码发给制黑客。
案例:某实验室截获到一种名为Trojan-PSW.Win32.QQPass.binz的QQ盗号木马,会盗取用户QQ信息并发送给远程黑客。与常见木马不同,该木马是一个DLL文件,而DLL文件需要exe文件加载才能够运行。该木马编写者并没有自己编写DLL加载程序,而是修改了某些系统文件如msdtc.exe来加载,这样有可能躲避某些安全软件主动防御方面的检查。
QQ盗号木马分析(这里才是重点,前面是铺垫的)
(1)使用查壳软件PEID对“盗号木马”可执行文件进行查壳,如图3-1 PEID查壳。
PEID查壳结果:该盗号木马是属于没有加壳的状态,并却是C语言编辑的木马。
(2)因为是无加壳状态下,使用IDA进行反汇编,调用Raining.dll,使用Raining.dll的一个导出函数InitDll,程序进入一个死循环,如图3-2 IDA反汇编1。
(3)继续使用IDA进行反汇编,在主体的功能代码在Raining.dll里面,查找QQ2012 2011窗口是否存在,存在就获取进程ID,顶层窗口句柄,窗口类名,同TXGuiFoundation比较,如图3-3 IDA反汇编2。
(4)使用SPY++辅助工具进行查看窗口类名,如图3-4 SPY++查类名。
(5)继续使用IDA进行反汇编,给自己提权,因为是为了实现场景还原,需要提权,为调试别的程序做铺垫,如图3-5 IDA提权。
(5)打开QQ进程,在其进程空间中寻找\qq\FixFileList.dat字符串,因为在这个字符串的前面就是QQ号,也就是QQ为每个用户建立的一个文件夹,如图3-6 IDA-QQ进程跟踪。
(7)通过showwindow汇编指令将QQ窗口隐藏,构造钓鱼窗口,如图3-7 IDA-QQ隐藏窗口跟踪。
如图3-7 IDA-QQ隐藏窗口跟踪
结果:QQ会弹出一个重新登录的界面框,如图3-8 IDA-QQ隐藏窗口结果。
(8)攻击者通过socket套接字将账号和密码信息发送到指定的IP主机上,黑客拿到QQ账号和密码,如图3-9 IDA-socket套接字跟踪。
7、手动清理
(1)通过对QQ盗号木马的分析,可以很清楚其特点,首先,在没有运行“资源.exe”可执行文件,通过任务管理器查看,如图4-1 任务管理器查看。
(2)登录QQ,如图4-2 登录QQ。
(3)运行“资源.exe”可执行文件,继续查看任务管理器,如图4-3 任务管理器查看1。
结果:弹出了登录界面,如图4-4 任务管理器追踪结果。
(4)尝试结束木马病毒程序进程,如图4-5 结束木马病毒进程。
结果:重新登录的弹出框不见了,并且QQ正常运行,如图4-6 结束木马病毒程结果,如图4-7 结束木马病毒进程QQ结果。
在这里插入图片描述
(5)因为该QQ盗号木马,没有改变注册表、数据库等破坏性,只是为了盗取QQ账号和密码,所以结束进程后直接删除原木马病毒可执行文件,就可以达到手动清除的过程,如图4-8 删除原木马病毒可执行。
结果:通过socket套接字将账号和密码信息发送到指定的IP主机上。
8、QQ盗号木马分析总结
QQ盗号钓鱼木马****编辑者很巧妙地将它隐藏、伪装的比较好,当普通用户点击后,没有点击qq窗口他会一直常驻内存,当用户点击QQ窗口,就会弹出自己伪造的框。该木马没有使用任何反跟踪技术和变形技术,也没有对注册表,服务等操作,对一些关键的函数,字符串也是处理比较巧妙,比如:GetForegroundWindow,TXGuiFoundtion(因为以前的盗号木马都包含这个字符信息),没有危险API的操作,该木马病毒没有危害主机数据库,所以一开始跟多杀毒软件无动于衷,随着杀毒软件不断更新现已经可以通过软件直接进行杀毒。
对主要函数进行了分析:函数CreateMutes的使用,保证内存中只存在一个当前进程在运行;函数GetForegroundWindow,GetClassName,FindWindow,GetWindowsThreadProcessId,使用当前台窗口与指定的TXGuiFoundtion窗口PID相等时,就弹出钓鱼窗口等。
9、建议:
如下**
(1)为您的QQ号码申请密码保护;
(2)不登陆来路不名的网站,不点击来历不名的链接;
(3)防止木马入侵电脑,及时安装杀毒软件;
(4)使用复杂密码,并尽量避免QQ密码和您在其他网站使用的密码相同;
(5)提高其他方面的安全意识,定时检查电脑,任务管理器之类等;
使用QQ医生在线版修复系统漏洞;或者在微软的官方网站更新Windows安全补丁,需要正版Windows。
原病毒提取链接:https://pan.baidu.com/s/1y4BfbCKTDPJaAkfszP201w
提取码:m4m7