QQ安全攻防之道密码锁对决QQ大盗

出处：赛迪网安全社区作者：lvvl 时间：2006-11-29 9:22:00

前言

今天收到网友邮件，强烈推荐我一款最新的QQ密码盗取木马生成器——全能QQ大盗。我就纳闷呢，这年头怎么有这么多人对这玩意这么感兴趣呢……不管怎么说，盛情难却，就收下这款宝贝，以后用来整整人也好。

先让我们来看看这款木马的介绍。

目前为止，最牛X的QQ木马。可以获取用户Q币数量、游戏币数量、QQ积分、QQ游戏点等信息。完美破解QQ2006键盘保护，密码框不会出现红叉叉，所有版本QQ通杀，包括最新的QQ2006 Beta2。采用特殊的线程插入技术，无启动项，无进程，突破各类防火墙（如：天网、卡巴、瑞星、金山网镖、江民……）。采用同类QQ木马当中，绝对领先的技术，准确获取QQ密码，绝无偏差。用户登陆成功后再发信，从而杜绝重复发信、密码错误发信情况，不在收取重复信件，提高软件工作效率立即删除自身，让木马不留痕迹。具有定时关闭QQ和防重复运行的功能！下面是截图：

看的出来，这款密码盗取软件针对目前国内外的主流桌面防火墙软件作出了针对性的改进，且具有很高的隐蔽性，一旦运行了木马的EXE，它就几乎彻底隐藏了自己，就象广告中说的一样，无启动项，无进程。常规的检测工具要检测它具有一定的难度，所以这款木马生成器生成的木马对于普通用户来说具有相当大的杀伤力。

木马分析

接下来我们来看看该木马的工作流程：

木马在获得启动运行后，就会将复制一个备份到C:\Program Files\Internet Explorer\PLUGINS，并重命名为qn911.dll(其实这还是一个EXE文件)并将其文件属性设为隐藏和系统然后在C:\Program Files\Internet Explorer\PLUGINS释放出qn911.sys(其实这是一个DLL文件)。

这时候木马会在系统注册表内注册一个CLASSID

HKCR\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}

并将该CLSID和C:\Program Files\Internet Explorer\PLUGINS\qn911.sys联系在一起。然后将该CLSID添加添加到注册表的ShellExecuteHooks下

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}=""

(老鸟这时候就会说了，原来它的无启动项和特殊的线程插入技术就是这么实现的啊…)

Qn911.sys内含有钩子WH_GETMESSAGE。

在木马下完钩子后，完成盗取QQ密码的准备工作后就创建一个名为MicroSoft.bat的批处理文件，用于删除木马的EXE文件和批处理自身.这样它在系统中就是”无进程”了。

这里有个插曲，木马的作者会给分析人员一些留言，内容如下:

wodexiaoshihouchaonaorenxingdeshihou

waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang

tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai

由于我的小学拼音实在不怎么样，而且由于时间关系，所以这个内容留给感兴趣的人来解读吧。(没有标点符号的文章实在很难读啊)。

这时如果启动QQ，通过ShellExecuteHooks，qn911.sys就会插入到QQ的进程空间中去了。

等你输入密码后，qn911.sys就会将密码发送到你指定的邮箱中去。

邮件内容如下：

对决

面对如此一个新颖，强悍，隐蔽的对手，终截者能防御吗？毛主席说过：实践是检验真理的唯一标准，那我们就用事实来说话吧。先将QQ加入终截者的密码锁保护列表内：

启动木马进程，终截者对进程危险程序的判断还是很精准的。

根据我的使用经验，能让进程防护危险等级框拉到底的绝大多数都是木马病毒等非正常程序了。

实验需要，我们放过该木马，允许它运行。

启动QQ运行，并查看其进程模块，可以看到，进程空间内qn911.sys已经无法注入到QQ的进程中去。看来，终截者对ShellExecuteHook方式的线程注入还是有防御手段是非常成功有效的。既然qn911.sys不能注入到QQ进程空间中，那么截取密码当然也就无从谈起了。我们在查看指定接收密码的邮箱，里面自然一无所获。

就这样一场QQ密码的攻防战就在用户毫不知情的状况中发生和结束了。

用户唯一的线索大概就要到关闭QQ时，查看详细信息时才能从模块信息列表中看到木马曾经来过的蛛丝马迹。

乘胜追击

各位看官看到这，相比结果已经明了了，接下来就是打扫战场的工作了。从前面的木马分析中可以看到，木马残留在系统中有两个文件

C:\Program Files\Internet Explorer\PLUGINS\qn911.sys

C:\Program Files\Internet Explorer\PLUGINS\qn911.dll

所以用户要做的事情就是删除这两个文件。但qn911.sys还在其他进程中运行，此时是不能删除的。

这时候，终截者的另一大特色功能就能派上用处了。

点击后重启，就运行到一个绝对纯净的环境中(不要将其等同于系统的安全模式)在这里你就能很轻易地删除上述两个木马文件了。至此，木马清理完毕。

结束语

这次终截者遭遇的对手是利用ShellExecuteHook技术进行密码盗取的木马。看的出来，终截者的研发人员针对这种技术提供了有效的防御方案，所以才能轻松获胜。据我所知，这在同类软件中能做到的并不多，可以说是寥寥无己。而且终截者的能力远不止于此，那么终截者的下一个对手会是谁呢?

邮件网络安全

QQ安全攻防之道密码锁对决QQ大盗