幕后黑手it’s you?
“ 引言部分,总领全篇文章的中心内容。”
夜降临,忙绿了一天,危险漫步和大家也像往常一样,乘车回家休息。回到家中,像往常一样打开了计算机,浏览着网页,看到一款寻找已久的软件,呵呵,看来我人品大发了,打开下载神器,只听叮咚一声,ok已经出现在桌面了。我迫不及待的打开了软件,ok能正常使用。过了一会儿,qq掉线了。第一反应不是中招了,而是心理咒骂着什么破网络,又掉线了。重新登录q,习惯性的敲完密码,回车……
01
—
挂qq虽然不是为了寒暄下,但是已经成为了大部分的人习惯了(电子鸦片)。我打开q这次敲完密码,我没有按回车键而是点击了登录按钮,点了但是就是没有反应,提示密码错误,总是提示密码错误,这时已经有种不详的预感了,登录成功显示上次登录的地方竟然是国外。不想发生的一幕还是发生了,号被盗了。这使我联想到,昨天下载的软件可能有问题(偶上网习惯还是很好的,所以就没有安装杀毒软件,更重要的是,杀毒软件和病毒使用的是同样的技术,有时也很可怕的)。
具体指引详见《XXXXXX》
02
—
首先要做的第一步就是断网,接着拿出ark工具观察可疑进程,线程,服务,以及自启动信息。在进程窗口能看到有个可疑进程svchost.exe后面写的文件厂商是hacker jonny。ok,右键定位进程文件,一看就是伪装的,不是微软的正规操控服务的进程。二话不说先传到杀毒网上,给他来个记号,以免广大群众重蹈覆辙。右键强制结束掉进程并删除文件,其实在C:\WINDOWS\system文件下的HJonny.bat(删除自身以及一直ping)也是盗号程序释放的。启动项里有个autokill的后面也写着hackerjonny,ok右键删除启动信息。下面就让我们一起看下病毒文件svchost.exe,先peid看下有没有壳,ok,vb写的od载入,右键查找unicode(因为是vb写的程序)。从显示出的参考字串可以看出之前那个批处理是盗号程序释放的,以及之前删掉的注册表。其实这里大家可以不用od跟进去慢慢分析出盗号者的账号密码。这里还有更简单的方法。不知道大家注意到后面写了个overlay,ok,就是它。因为很多盗号程序都把配置信息写在附加文件中。
用winhex载入,一直向下托,就会看到盗号者的配置信息了。利用获得的qq账号以及密码登陆他的邮箱看了下,他这几天收获不小。查了下盗号者本人还收徒弟教授各种盗号技术。看了下头顶上的钟表,时间已不早了,明天在接着搞这个盗号的。
首先我用那个qq加了我几个号(为了之后改密保用的),其次我一个刷钻工具(你懂地)捆绑了木马。我用另一个q加了他,冒充崇拜他,想要学习黑客技术,我问他qq能刷会员,刷钻。他说没问题。接着我说,我从淘宝网上买了个刷钻工具,不会用,能否教下我怎么用,他让我把工具传给他,ok过了一会我看见我的远程客户端又多了一台肉鸡。他说,这工具不好用,我说那你拿你的工具教我吧,他说要600元(真是穷疯了),我说太贵了,就下线了。
话说一个周的时间,我了解了很多他的嗜好,也为我们修改密保做好了准备。等一个周不仅仅是为了搞清他的一些问题,更重要的是腾讯有规定,提起申诉的几个好友必须要一周以上才行。我填写了申诉,过了段时间密保修改成功了。
总的来说这次恶搞这个盗号者没有太大的技术含量,服务端没有加密钻了空子,以及社工的运用。事后查了下,这是幻魇qq大盗(作者分享出来是为了研究技术的)生成的木马服务端。事后我找到客户端生成了一个简单跟了下,首先.exe启动svchost进程,接着svchost将自己添加到注册表中,调用HJonny.bat批处理,一直ping以及删除桌面客户端。启动qq时他会先调用伪装的qq登录界面,当回车事他会把相应信息发送盗号者箱子中以及调用腾
讯的qq上线(分析不到位的地方,还希望各位大大拍砖一嘿嘿,不怕滴,我已戴好了安全帽)。为了防止大家不小心运行盗号程序,提取的样本文件就不提供了,我用幻魇qq大盗重新生成一个指向无效地址的地方,方便大家练手。