首页
论坛
专栏
课程

[注意]最近出现了一种通过QQ传播的木马,中招的设备向其它人发送一个7z压缩文件

jeetgggg 2017-11-14 20:20 1515
最近出现了一种通过QQ传播的木马,中招的设备向其它人发送一个7z压缩文件。猜测此木马可能利用了主流压缩软件的漏洞,样本比较大上传不了,有兴趣研究的朋友可以自行下载,已经把两个样本打包成zip:https://pan.baidu.com/s/1nuDawjf  希望压缩软件厂商还有安全公司尽早关注改进软件。



快讯:看雪智能设备漏洞挖掘公开课招生中!

最新回复 (9)
Morgion 2017-11-15 08:51
2
首先,这玩意没有利用任何主流压缩软件的漏洞。
第二,这个就是个QQ钓鱼软件罢了。附上脱壳以后的VT检测结果:
https://www.virustotal.com/#/file/23ea61f7fa0f7aa1af02c814d3d92de622d423accad880c49c9ba25ae3b25312/detection
逻辑错误 2017-11-15 11:25
3
看了一下,  里面有包含一些常见杀软的模块名或者注册表路径等.  比如金山毒霸的"kxetray.exe"还有Q管的"SOFTWARE\Wow6432Node\Tencent\QQPCMgr"等等这些.
  文件太大了,  也懒得仔细分析了,  机器又破,IDA都花了十多分钟才加载分析完成.  还有就是VT那个检测不准,  本地测试的话杀软是两个包一起杀的.
jeetgggg 2017-11-15 11:43
4
Morgion 首先,这玩意没有利用任何主流压缩软件的漏洞。 第二,这个就是个QQ钓鱼软件罢了。附上脱壳以后的VT检测结果: https://www.virustotal.com/#/file/23ea61f7f ...
见笑,我都没解压缩过,木有技术生怕中招了
jeetgggg 2017-11-15 11:44
5
逻辑错误 看了一下, 里面有包含一些常见杀软的模块名或者注册表路径等. 比如金山毒霸的"kxetray.exe"还有Q管的"SOFTWARE\Wow6432Node\Tencent ...
这玩意做得确实大10多M的文件,估计功能齐全了
jeetgggg 2017-11-15 11:47
6
逻辑错误 看了一下, 里面有包含一些常见杀软的模块名或者注册表路径等. 比如金山毒霸的"kxetray.exe"还有Q管的"SOFTWARE\Wow6432Node\Tencent ...
最近中招的人太多,QQ好友里有点泛烂了
逻辑错误 2017-11-16 10:06
7
jeetgggg 这玩意做得确实大10多M的文件,估计功能齐全了
我要是病毒作者,我就不会传播这么大的文件,  直接传播一个mini的download文件多好,  剩下的云端慢慢下载. 
noNumber 2017-11-16 16:43
8
大  才让一些人觉得可信啊。。
noNumber 2017-11-16 16:43
9
以前有向群共享传  文件利用的是WEB协议、  只是不知道他是怎么向  好友  发送文件的, 
右手Plus 2017-11-25 10:40
10
木马本身体积不大,是作者自己后来加入一些垃圾资源进去,
让他变大的,主要目的是想绕过杀毒软件上传检测查杀,
因为杀毒软件有后台自动上传木马功能,体积比较大的会忽略不被上传
返回