具体现象
部分网吧发现QQ木马盗号的现象,主要是体现着以下几点:
1、木马执行不规律,木马行为与策略相关联。
2、就了解到的情况来看,感染QQ2013为主。
3、破坏QQ文件,全局dll注入。修改微软官方模块rasman.dll,使系统指向假的rasman.dll,执行完病毒代码之后再指向真的rasmanorg.dll。
4、QQ被破坏,按登录键进程直接退出。
相关文件
暂时查到病毒下载器为C:\windows\debug\QQprotect.exe
病毒主体应该是:C:\programfiles\intel\随机数.exe
被感染的文件;C:\windows\system32\rasman.dll QQPath\bin\qq.exe
父进程据报告极有可能是:Flash_ActiveX.exe2013年 顺网爆发过相关漏洞
环境
多种网吧计费,游戏更新环境。共同点使用P某in系统。
详细分析
一、QQprotect.exe 分析
病毒爆发时间十月7号至十月11号下午;客户机执行Hips工具时病毒不执行;11号下午病毒策略下载网站突然无法打开。
按照进程排除的办法,确定病毒文件为QQprotect.exe,提取出本文件在纯净的虚拟机中执行,发现QQ进程在几分到几十分钟左右掉线。之后QQ文件被恶意篡改,登录QQ的时候QQ直接崩溃。与客户反馈的症状相符。
1、脱UPX壳,利用OD打开QQprotect程序进行跟踪,首先程序判断自身是否在C:\windows\Debug目录下,如果不再复制自身然后进行自删除。 (图1)
图1
然后退出进程运行复制之后的程序。
2、继续执行下去,到如下函数。进入该函数,发现程序下载了一个log文件。(图2)
图2 配置文件下载CALL
进入该函数发现,系统从http://v.5youka.com/tj/list.jpg 下载到系统的C:\windows\debug\PASSWDS.LOG中。 (图3)
图3
由于11号下午病毒突然不执行,策略文件无从得到,后面的所以与策略文件有关的判断及跳转均为笔者模拟的病毒行为。
3、下载完成之后,系统开始读取配置文件内容,并且通过配置文件中的内容进行解析。
4、病毒根据配置文件的信息,在C:\Program Files\inter下载生成了一个随机数的exe。(图4、
5)
图4 构造文件目录
图5 生成随机exe路径
由于配置文件缺失,该exe文件没有下载成功。但是几乎可以确定是QQ木马。因为整个程序就下载过这一次exe程序。
5、之后,系统先检测某些进程是否执行,由于函数参数为空,笔者跟踪了一下,发现是配置文件中保存的(笔者没下载到策略文件,自己随便建立的空文件)。有可能是判断安全软件是否执行的函数。(图5)
二、rasman.dll 分析
文件大小及属性被篡改(如图6)
图 6
输出函数(EAT)被修改
OD分析Dll程序发现敏感盗号字符串 (图7)
图7 明显的收信机制
该函数在偏移0x340 处,病毒发作的时候已经成功的注入到QQ的进程中,还不清楚该dll是如何盗取的QQ密码,但是此模块应该就是发信模块了,系统利用随机.exe下载了该 dll,然后unmap一下这个dll,然后映射上自己的假DLL。注入腾讯之后获取腾讯的内存空间内容。
回溯追查了一下,发现是以线程的形式启动的,该函数处于 $+0x1480处。(图8)
回溯之后有了重大发现,可以确定该文件为仿造微软的盗号模块。下图为盗号木马的核心代码。(这个地址的代码完全可以提供盗号的新思路)
这里非常重要,直接loadLoginUI.dll后面我发现 他直接创建控件,也就是说把UI修改,输入的密码直接输入到他的文本框中。loadLoginUI中的导出函数是谁教他的,如何定义的是如何知道的?腾讯什么时候和微软合作了?
继续往下看,程序开始动态的写控件啦,如图:
作者竟然还做的日志 --!
作者在记录时间!
访问空间的时候,修改了内存的属性。
通过网络查询出来的结果
策略地址:http://v.5youka.com/tj/count.php 已经无法访问了
IDC:
总结
由于有特殊的保护机制,无法查出是哪个进程调用的该程序,启动较早,父进程可能随开机启动,无法排查。
解决方法如下:
方案1、Host跳转,禁止策略的获取。网址为:http://v.5youka.com
方案2、升级QQ到最新版本,发现这个病毒只支持QQ2013,尽量不用这种办法。
方案3、可以在禁止启动的进行的列表中增加C:\windows\debug\QQprotect.exe
注入微软DLL确实是一种特别强大的办法,然后利用注入到进程的空间模块,提升自身的权限,然后重写腾讯的控件。作者真是深思熟虑啊。