>>  學員活動
>>  班級留念
>>  IT技術
>>  IT人物



  
 
所在位置:石家莊動漫軟件職業技術學校 >> 學員活動 >> IT技術
釣魚木馬深度追蹤:看技術大牛如何人肉到黑客資料的
作者: 來源: 點擊數:1090 更新時間:2015-7-3 11:24:57   

    今天早上剛起來,一個朋友就發給盛哥一個文件,一看文件的名字是拿貨清單.tbz2,哥第一感覺是病毒,然后就打電話告訴哥的那個朋友,她的QQ號碼可能被盜了,讓她趕快修改密碼,她改完之后,這件事情本來應該結束的,可因為盛哥的好奇心,還有發現這個木馬是免殺的,所以就去分析了下這個木馬,然后就有了后來的事情。樣本圖標:

    是不是感覺很詭異,壓縮前的文件竟然比壓縮后的文件還要大5000K,用Winhex打開,發現里面有這個完整的PE,才看了下原來壓縮比例是100%,根本就沒進行壓縮算法,而且在壓縮包的文件末尾還加了好多沒用的數據,看來這作者是在構建畸形壓縮包,起到QQ傳輸木馬不被發現里面包含PE的作用。

    用戶通過打開壓縮包,雙擊運行壓縮包里的木馬后,木馬會運行起來,然后從自身資源釋放一張圖片到電腦上,通過系統調用打開圖片,起到迷糊用戶的目的,用戶以為打開的是圖片,如圖:

    但是他們不知道其實木馬還沒結束,它會把自身復制到臨時目錄下,然后通過WinExec這個API,傳遞第二個參數是SW_HIDE把自身重新運行起來,如圖:

    再次運行起來的木馬,因為是隱藏運行的,所以會走下面的木馬流程,如圖:

    注冊一個窗口:

    動態創建控件,偽裝QQ重新登錄的界面,如圖:

    設置控件的風格,如圖:

    構造的界面如圖所示,感覺挺真的,不認真看真看不來:

    解密字符串,解密出騰訊的窗口類型,如圖:

    設置定時器,監控QQ窗口是否被激活,如圖:

    通過NtSuspendProcess把QQ進程掛起,彈出釣魚的界面,如圖:

    定時器函數里的作用就是,每過固定間隔,檢測一下窗口類為TXGuiFoundation的窗口是否存在,如果存在的話,就彈出釣魚的窗口,如圖:

    用戶點登陸后,會彈出2次,如果2次密碼輸入的一樣,就會把密碼發送到遠程服務器,如圖:

    這是發送到遠程服務器的地址,如圖:

    通過對這個地址的挖掘,發現地址:http://119.163.172.10/socket/ste.php是一個企業的網站,如圖:

    只有一個解釋就是,這個網站被入侵了,木馬作者把轉發腳本放到網站上,靠轉發腳本把竊取到的賬號和密碼發到他真正的服務器,木馬作者之所以這么干,可能是因為360會攔截發往黑域名或者黑IP的數據,作者是靠企業網站做中轉,這樣木馬向這個中轉網站發數據,360不會攔截,因為這些企業網站是可信域名。
    于是就試圖找下這個站的漏洞,原來這個站是用的老版本的thinkphp,存在漏洞,漏洞地址為:http://xxx.xxx.xxx.10/outbound/index.php/xxx/xxx/xxx/%7B$%7B@eval(phpinfo())%7D%7D
    截圖:

    于是掛上菜刀,發現/var/www/html/socket/目錄下的確實存在一個轉發腳本,是4月30號剛上傳上去的,可以看出來這人是通過比較老的THINKPHP漏洞拿到的webshell,如圖:

    這個腳本具有轉發數據的功能,附加上中毒者的IP后轉到真正的服務器地址:        http://122.0.71.39:8080/admin/sub.asp,也就是QQ木馬的箱子地址,如圖:

    通過對地址的進一步挖掘找到了作者的QQ號,和他女朋友的QQ:
    木馬作者的QQ:4102*42**

    估計是他女朋友的QQ號:529944***


    另一個女朋友吧?
    245735*** 真實姓名 宋*

    作者的百度知道:http://www.baidu.com/p/410264228?from=zhidao,木馬作者發的易語言帖子,    2011年就開始找寫木馬的高手了。http://bbs.eyuyan.com/u.php?uid=303905

    超級管理員登錄地址:http://122.0.71.38:8080/admin/super/Login_s.asp截圖:

    一般用戶登錄地址:http://122.0.71.38:8080/admin/Login.asp截圖:

    使用木馬的詐騙者用的工具,從通過這個軟件去采集信息,采集一些大企業的郵箱,通過郵箱群發工具把木馬發出去:

    今天沒事就去互聯網上隨便搜了搜,人肉結果如下,拒絕查水表,謝謝!
    通過QQ查看到QQ微博帳號是a4102642**,得知這人的郵箱地址可能是:
    a4102642**@163.com a4102642**@126.com

    然后通過支付寶的轉賬功能看了下,果真有個163的郵箱:
    真名:*耀泉

    和QQ資料相符:可以看出就是這人的真實姓名

    然后去試他的郵箱的密碼,然后改了下密碼,就進去他郵箱了:

    郵箱收件箱的內容全被他刪掉了:

    已發郵件里找到了2011年的郵件,發現他2011年在通過SMTP協議的木馬盜取QQ帳號密碼:


    通過郵箱里的文件,找到了一個銀行卡號,正是作者的名字:
    開戶行:賓陽縣的

    賓陽都形成的詐騙的產業鏈了

    這估計是他賣木馬用的銀行卡號:

    從郵箱文件列表里又下載到一個壓縮包:

    拒絕查水表,我都刪掉了,密碼也改回來了!
    希望木馬作者回頭吧。
    苦海無邊,回頭是岸;施主回頭吧!

 

 

      友情提示:如果您正在為就業難而煩惱,如果您想跳槽轉行而不知該如何決擇,如果您因激烈的職業競爭而想充電學習,請點擊在線客服,或者撥打0311—87162121 87162112我們會有專業的職業規劃老師為您解除困惑!

上一篇:推薦8款免費的Web安全測試工具
下一篇:有料 鍵盤上原來有這么多秘密,你都知道嗎?
[在線報名] [打印此文] [關閉窗口]
版權所有 石家莊清美動漫軟件職業技術學校
傳真:0311-87162110-8010 郵箱:hbbeneter@sina.com 冀ICP備16001955號-2
校址:石家莊市建設北大街東海國際 電話:400-800-5730 0311-87162121 87612112
欧美图亚洲色另类色在线_欧美大胆无码视频_欧美 av亚洲 av国产 制服