 好东西当然得大家一起来分享拉!介绍我的最新装备库里的东东!
我所讲的只代表我的个人意见,间我个人能力有限有什么讲的不对的地方请各位指教.
目前为止,最牛X的QQ木马。可以获取用户Q币数量、游戏币数量、QQ积分、QQ游戏点等信息。完美破解QQ2006键盘保护,密码框不会出现红叉叉, 所有版本QQ通杀,包括最新的QQ2006 Beta2。采用特殊的线程插入技术,无启动项,无进程, 突破各类防火墙(如:天网、卡巴、瑞星、金山网镖、江民……)。采用同类QQ木马当中,绝对领先的技术,准确获取QQ密码,绝无偏差。用户登陆成功后再发信,从而杜绝重复发信、密码错误发信情况,不在收取重复信件,提高软件工作效率立即删除自身,让木马不留痕迹。具有定时关闭QQ和防重复运行的功能!下面是截图:
看的出来,这款密码盗取软件针对目前国内外的主流桌面防火墙软件作出了针对性的改进,且具有很高的隐蔽性,一旦运行了木马的EXE,它就几乎彻底隐藏了自己,就象广告中说的一样,无启动项,无进程。常规的检测工具要检测它具有一定的难度,所以这款木马生成器生成的木马对于普通用户来说具有相当大的杀伤力。
木马分析
接下来我们来看看该木马的工作流程:
木马在获得启动运行后,就会将复制一个备份到C:Program FilesInternet ExplorerPLUGINS,并重命名为qn911.dll(其实这还是一个EXE文件)并将其文件属性设为隐藏和系统然后在C:Program FilesInternet ExplorerPLUGINS释放出qn911.sys(其实这是一个DLL文件)。
这时候木马会在系统注册表内注册一个CLASSID
HKCRCLSID
并将该CLSID和C:Program FilesInternet ExplorerPLUGINSqn911.sys联系在一起。然后将该CLSID添加添加到注册表的ShellExecuteHooks下
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
=""
(老鸟这时候就会说了,原来它的无启动项和特殊的线程插入技术就是这么实现的啊…)
Qn911.sys内含有钩子WH_GETMESSAGE。
在木马下完钩子后,完成盗取QQ密码的准备工作后就创建一个名为MicroSoft.bat的批处理文件,用于删除木马的EXE文件和批处理自身.这样它在系统中就是”无进程”了。
这里有个插曲,木马的作者会给分析人员一些留言,内容如下:
wodexiaoshihouchaonaorenxingdeshihou
waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang
tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai
(没有标点符号的文章实在很难读啊)。
这时如果启动QQ,通过ShellExecuteHooks,qn911.sys就会插入到QQ的进程空间中去了。
等你输入密码后,qn911.sys就会将密码发送到你指定的邮箱中去。
邮件内容如下:
| 
