首页
论坛
专栏
课程

[原创]一个QQ钓鱼木马事件的追踪

2015-5-14 10:08 15280

[原创]一个QQ钓鱼木马事件的追踪

2015-5-14 10:08
15280
0x01:
今天早上刚到公司,一个朋友就发给我一个文件,一看文件的名字是 拿货清单.tbz2,我第一感觉是病毒,然后就打电话告诉我的那个朋友,她的QQ号码可能被盗了,让她赶快修改密码,她改完之后,这件事情本来应该结束的,因为我的好奇心,还有发现这个木马是免杀的,所以就去分析了下这个木马,然后就有了后来的事情。

0x02:
样本图标:
 
是不是感觉很诡异,压缩后的文件竟然比压缩前的文件还要大5000K,我用Winhex打开,发现里面有这个完整的PE,才看了下原来压缩比例是100%,根本就没进行压缩算法,而且在压缩包的文件末尾还加了好多没用的数据,看来这作者是在构建畸形压缩包,起到QQ传输木马不被发现里面包含PE的作用。
 

0x03:
用户通过打开压缩包,双击运行压缩包里的木马后,木马会运行起来,然后从自身资源释放一张图片到电脑上,通过系统调用打开图片,起到迷糊用户的目的,用户以为打开的是图片,如图: 
 
但是他们不知道其实木马还没结束,它会把自身复制到临时目录下,然后通过WinExec这个API,传递第二个参数是SW_HIDE把自身重新运行起来,如图:
 
再次运行起来的木马,因为是隐藏运行的,所以会走下面的木马流程,如图:
 
注册一个窗口:
 
动态创建控件,伪装QQ重新登录的界面,如图:
 
设置控件的风格,如图:
 
构造的界面如图所示,感觉挺真的,不认真看真看不来:
 
解密字符串,解密出腾讯的窗口类型,如图:
 
设置定时器,监控QQ窗口是否被激活,如图:
 
在,通过NtSuspendProcess把QQ进程挂起,弹出钓鱼的界面,如图:
 
定时器函数里的作用就是,每过固定间隔,检测一下窗口类为TXGuiFoundation的窗口是否存在,如果存在的话,就弹出钓鱼的窗口,如图:
 
用户点登陆后,会弹出2次,如果2次密码输入的一样,就会把密码发送到远程服务器,如图:
 
这是发送到远程服务器的地址,如图:
 

0x04:
通过对这个地址的挖掘,发现这地址:http://119.163.172.10/socket/ste.php
是一个企业的网站,如图:

只有一个解释就是,这个网站被入侵了,木马作者把转发脚本放到网站上,靠转发脚本把窃取到的账号和密码发到他真正的服务器,木马作者之所以这么干,可能是因为360会拦截发往黑域名或者黑IP的数据,作者是靠企业网站做中转,这样木马向这个中转网站发数据,360不会拦截,因为这些企业网站是可信域名。
于是就试图找下这个站的漏洞,原来这个站是用的老版本的thinkphp,存在漏洞,漏洞地址为:
http://xxx.xxx.xxx.10/outbound/index.php/xxx/xxx/xxx/%7B$%7B@eval(phpinfo())%7D%7D
截图:
 
于是挂上菜刀,发现/var/www/html/socket/目录下的确实存在一个转发脚本,
是4月30号刚上传上去的,可以看出来这人是通过比较老的THINKPHP漏洞拿到的webshell,如图:
 
这个脚本就是转发数据的功能,附加上中毒者的IP后转到真正的服务器地址:
http://122.0.71.39:8080/admin/sub.asp,
也就是QQ木马的箱子地址,如图:


0x05:
通过对地址的进一步挖掘找到了作者的QQ号,和他女朋友的QQ:
木马作者的QQ:4102*42**
 
估计是他女朋友的QQ号:529944***
 
 
另一个女朋友吧?
245735***  真实姓名 宋晶
 
作者的百度知道:
http://www.baidu.com/p/410264228?from=zhidao
木马作者发的易语言帖子,2011年就开始找写木马的高手了。
http://bbs.eyuyan.com/u.php?uid=303905

 

超级管理员登录地址:
http://122.0.71.38:8080/admin/super/Login_s.asp
截图:
 
一般用户登录地址:
http://122.0.71.38:8080/admin/Login.asp
截图:
 

使用木马的诈骗者用的工具,从通过这个软件去采集信息,采集一些大企业的邮箱,通过邮箱群发工具把木马发出去:
 

0x06:
继续详细的跟踪作者,去互联网上随便搜了搜,人肉结果如下,拒绝查水表,谢谢!
通过QQ 查看到QQ微博帐号是 a4102642**,得知这人的邮箱地址可能是:
a4102642**@163.com
a4102642**@126.com
名称:

然后通过支付宝的转账功能看了下,果真有个163的邮箱:
真名:*耀泉

和QQ资料相符:
可以看出就是这人的真实姓名

然后去试他的邮箱的密码:

果断选择通过密码提示问题找回:
看他交过这么多女朋友的经历,第一个猜测的是网游,错误了,第二次果断填的做爱,没想到竟然对了!

然后改了下密码,就进去他邮箱了:

邮箱收件箱的内容全被他删掉了:

已发邮件里找到了2011年的邮件,发现他2011年在通过SMTP协议的木马盗取QQ帐号密码:


通过邮箱里的文件,找到了一个银行卡号,正是作者的名字:
开户行:宾阳县的

宾阳都形成的诈骗的产业链了

这估计是他卖木马用的银行卡号:

从邮箱文件列表里又下载到一个压缩包:

拒绝查水表,我都删掉了,密码也改回来了!

0x07:
苦海无边,回头是岸;兄弟回头吧!

[推荐]看雪企服平台,提供安全分析、定制项目开发、APP等级保护、渗透测试等安全服务!

上传的附件:
上一主题 下一主题
最新回复 (81)
熊猫正正 9 2015-5-14 10:18
2
0
从样本分析到源头,不错,赞一个
rock 2015-5-14 10:20
3
0
吊炸天
IamHuskar 4 2015-5-14 10:24
4
0
膜拜 大神
Youngs 2015-5-14 10:25
5
0
碉堡了!
wgejydy 1 2015-5-14 10:32
6
0
把人家祖坟都挖出来了
proceatr 2015-5-14 10:37
7
0
厉害
hanhaochi 2015-5-14 10:46
8
0
挖、深挖、继续挖……作者看到要哭了……好贴
LShang 2015-5-14 10:46
9
0
膜拜,非常牛逼的一次分析。
龙飞雪 2015-5-14 11:03
10
0
分析的不错,真心有条理,web安全的知识都用上了
zhouxgang 2015-5-14 11:05
11
0
好厉害!分析的好棒!  苦海无边 回头是岸  哈哈哈哈
zylyy 2015-5-14 11:06
12
0
作者已经哭了
tuobaofeng 2015-5-14 11:07
13
0
666666666
QQSniper 9 2015-5-14 11:09
14
0
真是吊啦,那么问题来了,那些源码是从哪来的
yycnet 2015-5-14 11:10
15
0
膜拜, 顶一个
bossLi 2015-5-14 11:31
16
0
分析的真详细,简直大神 把作者的女朋友都给挖了出来 哈哈哈 叼炸天
jylaxp 2015-5-14 11:43
17
0
很好的分析,不过貌似有点小瑕疵,“压缩前的文件竟然比压缩后的文件还要大5000K”, 这个写反了吧
guoye 2015-5-14 11:43
18
0
超屌!膜拜
yzbkof 2015-5-14 11:47
19
0
大神啊,进来膜拜~~~
goddkiller 2015-5-14 12:19
20
0
文章很精采
yjd 2015-5-14 13:10
21
0
最近也收到同事发类似。
解压是个xls文件,会打开一个仿qq登入邮箱的页面。

楼主前面码白打了最后图片漏了。

再追查下,直接叫公安抓人了。
马上成功 2015-5-14 13:21
22
0
好高深啊,小白看不懂
Maccha 2015-5-14 13:38
23
0
这个思路不错 通过企业转发 见识了
xdlakx 2015-5-14 13:50
24
0
好牛逼!~~~~~~~~~··
moonkit 2015-5-14 14:00
25
0
祖坟刨的好
bunnyrene 2015-5-14 14:07
26
0
+QQ暴露了一切
冰冻冷咖啡 2015-5-14 14:24
27
0
IDA F5
地狱怪客 2 2015-5-14 15:01
28
0
应该把马发给他女朋友
曾经的王 2015-5-14 15:10
29
0
大神啊,太厉害了
nence 2015-5-14 15:52
30
0
楼主的第一帖就这么精彩,有前途
dalerkd 1 2015-5-14 17:26
31
0
哭了,,,,
红颜世家、 2015-5-14 17:46
32
0
大神已经碉堡了...
zgfxcg 2015-5-14 19:04
33
0
楼主对这些行业怎么看
byroncheng 2015-5-14 23:02
34
0
厉害啊!不过其实可以把木马文件发一下的大家一起研究下的。。。
peoplelove 1 2015-5-15 09:54
35
0
谢谢
peoplelove 1 2015-5-15 09:56
36
0
样本已上传
破九 2015-5-15 10:20
37
0
楼主so 刁!!!
wuzhiwen 2015-5-18 15:39
38
0
LZ又新增了些新货了,先跪
狂起来 2015-5-18 15:47
39
0
连家都找到了,天啊!!
贼肉缝 2015-5-18 16:17
40
0
这个变种是最近出的,以前的那一批已经覆没了~
tomtory 2015-5-18 17:20
41
0
精彩分析, 膜拜~
kuty 2015-5-18 17:38
42
0
做木马的兄弟,你得感谢这位大神,在你未被GCD抄家之前给你一个感叹号
TPDD 2015-5-18 17:45
43
0
木马作者看到估计要哭了
Anzun 2015-5-19 00:03
44
0
牛B,膜拜。
ghua 2015-5-19 09:29
45
0
大大神呀,,,,,,....收徒嘛?????!!!!
caozhihua 2015-5-19 10:01
46
0
样本可以轻易的就F5,说明样本不复杂,至少没加花,甚至可能就没加壳。最重要的是作者连自己的信息都没保护好,还敢出来害人,这是作死的节奏。最后给楼主赞一个,这叙述真引人入胜!!
FishSeeWater 11 2015-5-19 12:45
47
0
精采,精华....
StartAoA 2015-5-19 14:12
48
0
牛逼的,精彩~~~
华仔在吗 2015-5-19 14:15
49
0
默默点赞
jimdlf 2015-5-19 15:48
50
0
吊炸天 太牛
游客
登录 | 注册 方可回帖
返回