幕后黑手it’s you?

引言部分,总领全篇文章的中心内容。

夜降临,忙绿了一天,危险漫步和大家也像往常一样,乘车回家休息。回到家中,像往常一样打开了计算机,浏览着网页,看到一款寻找已久的软件,呵呵,看来我人品大发了,打开下载神器,只听叮咚一声,ok已经出现在桌面了。我迫不及待的打开了软件,ok能正常使用。过了一会儿,qq掉线了。第一反应不是中招了,而是心理咒骂着什么破网络,又掉线了。重新登录q,习惯性的敲完密码,回车……

01

挂qq虽然不是为了寒暄下,但是已经成为了大部分的人习惯了(电子鸦片)。我打开q这次敲完密码,我没有按回车键而是点击了登录按钮,点了但是就是没有反应,提示密码错误,总是提示密码错误,这时已经有种不详的预感了,登录成功显示上次登录的地方竟然是国外。不想发生的一幕还是发生了,号被盗了。这使我联想到,昨天下载的软件可能有问题(偶上网习惯还是很好的,所以就没有安装杀毒软件,更重要的是,杀毒软件和病毒使用的是同样的技术,有时也很可怕的)。

具体指引详见《XXXXXX》

02

首先要做的第一步就是断网,接着拿出ark工具观察可疑进程,线程,服务,以及自启动信息。在进程窗口能看到有个可疑进程svchost.exe后面写的文件厂商是hacker jonny。ok,右键定位进程文件,一看就是伪装的,不是微软的正规操控服务的进程。二话不说先传到杀毒网上,给他来个记号,以免广大群众重蹈覆辙。右键强制结束掉进程并删除文件,其实在C:\WINDOWS\system文件下的HJonny.bat(删除自身以及一直ping)也是盗号程序释放的。启动项里有个autokill的后面也写着hackerjonny,ok右键删除启动信息。下面就让我们一起看下病毒文件svchost.exe,先peid看下有没有壳,ok,vb写的od载入,右键查找unicode(因为是vb写的程序)。从显示出的参考字串可以看出之前那个批处理是盗号程序释放的,以及之前删掉的注册表。其实这里大家可以不用od跟进去慢慢分析出盗号者的账号密码。这里还有更简单的方法。不知道大家注意到后面写了个overlay,ok,就是它。因为很多盗号程序都把配置信息写在附加文件中。

用winhex载入,一直向下托,就会看到盗号者的配置信息了。利用获得的qq账号以及密码登陆他的邮箱看了下,他这几天收获不小。查了下盗号者本人还收徒弟教授各种盗号技术。看了下头顶上的钟表,时间已不早了,明天在接着搞这个盗号的。

首先我用那个qq加了我几个号(为了之后改密保用的),其次我一个刷钻工具(你懂地)捆绑了木马。我用另一个q加了他,冒充崇拜他,想要学习黑客技术,我问他qq能刷会员,刷钻。他说没问题。接着我说,我从淘宝网上买了个刷钻工具,不会用,能否教下我怎么用,他让我把工具传给他,ok过了一会我看见我的远程客户端又多了一台肉鸡。他说,这工具不好用,我说那你拿你的工具教我吧,他说要600元(真是穷疯了),我说太贵了,就下线了。

话说一个周的时间,我了解了很多他的嗜好,也为我们修改密保做好了准备。等一个周不仅仅是为了搞清他的一些问题,更重要的是腾讯有规定,提起申诉的几个好友必须要一周以上才行。我填写了申诉,过了段时间密保修改成功了。

总的来说这次恶搞这个盗号者没有太大的技术含量,服务端没有加密钻了空子,以及社工的运用。事后查了下,这是幻魇qq大盗(作者分享出来是为了研究技术的)生成的木马服务端。事后我找到客户端生成了一个简单跟了下,首先.exe启动svchost进程,接着svchost将自己添加到注册表中,调用HJonny.bat批处理,一直ping以及删除桌面客户端。启动qq时他会先调用伪装的qq登录界面,当回车事他会把相应信息发送盗号者箱子中以及调用腾

讯的qq上线(分析不到位的地方,还希望各位大大拍砖一嘿嘿,不怕滴,我已戴好了安全帽)。为了防止大家不小心运行盗号程序,提取的样本文件就不提供了,我用幻魇qq大盗重新生成一个指向无效地址的地方,方便大家练手。

原文发布于微信公众号 - 网络安全社区悦信安(yuexin_an)

原文发表时间:2017-10-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

钓鱼引发的APT攻击回溯 | C&C服务器位于韩国,whois注册却在中国上海

一位日本的安全研究者MalwareMustDie发现一种基于Poison Ivy的新型APT攻击,经过他的逆向分析,发现了一些关于攻击厂商的有趣发现。 本文将介...

2279
来自专栏信安之路

macOS 恶意软件分析过程

Hacker 取得了我们系统权限后通常会做那些事情?植入 shell、恶意软件、留持久化的后门。在当下的 APT 事件中,远控木马扮演着一个重要的角色,这些木马...

1150
来自专栏区块链入门

第十五课 手把手教你以太坊ENS域名注册,抢做一个3000万的发财梦!

【本文目标】 通过本文学习,可以抢注ENS域名,便于后续增值和转账使用。 【前置条件】 本文无技术前置条件,但是需要有超过0.05个ETH的以太坊地址。 ...

2263
来自专栏FreeBuf

走进科学:银行ATM机真的安全吗?

作者 Black-Hole 注:本文提到的安全测试方法禁止非法利用,任何非法用途带来的后果责任自负。 0×01 引子 好吧,想在银行边进行渗透测试,边拍照的,但...

2635
来自专栏ChaMd5安全团队

RFIDHacKing频射硬件入门

RFIDHacKing频射硬件入门 From ChaMd5安全团队核心成员 MAX丶 鉴于硬件安全对于大多数新人是较少接触的,而这方面又非常吸...

3889
来自专栏安恒信息

明御邮件安全审计与风险预警平台璀璨首发

2017年国内外发生了一系列邮件不安全事件 ? 邮件安全分析 1.弱口令导致的账号冒用; 2.邮箱系统漏洞,包括Webmail跨站漏洞; 3.邮箱系统遭到攻击入...

4235
来自专栏技术小黑屋

解决Mac终端退出时的不爽

从Fedora切换到Linux下,有很多不适应,与其说不适应不如说不爽,其中一个就是今天要说的终端输入exit的问题.在Linux发行版中,输入exit会推出当...

2412
来自专栏FreeBuf

如何用一个废旧的笔记本打造一个家庭网络服务器?

本来好好的笔记本的,可偏偏屏幕说烂就烂,那就干脆不要了,改造改造吧! 他本来长这样的,如图: ? 什么,你看见了水印….老哥,别在意这些细节。 简单说一下配置:...

3908
来自专栏嵌入式程序猿

制造商代码字段在J1939中的位置你搞懂了吗?

SAE 自推出CAN的高层协议,J1939标准后,在商用车,卡车,舰船,农机等上面应用非常广泛,标准要求每一个节点都有一个8字节的名字域,用来识别,其中有11位...

2534
来自专栏FreeBuf

Hacking Tools搜罗大集合

各种各样的黑客工具浩如天上繁星,这也让许多刚刚入门安全技术圈的童鞋感到眼花缭乱,本文整理了常用的安全技术工具,希望能够给你带来帮助。以下大部分工具可以在 Git...

3019

扫码关注云+社区

领取腾讯云代金券