追踪放“马”贼——从木马中分析放马者手记

原创 2004年06月25日 14:03:00

两年前的文章,拿过来充充门面。

——————————————————————

追踪放“马”贼——从木马中分析放马者手记

( 作者:mikespook | 发布日期:2002-12-25 | 浏览次数:545 )

关键字:base64,QQ,木马
前言:
    本文章只是为了给广大和我一样的菜鸟一个指引。这里我要特别感谢小金(LK007)对我的帮助。

    早上爬起来收到女朋友来的短信,说QQ被人盗掉了。我一听,这还了得?太岁头上动土,居然偷到我懒猫这来了?电话里详细问了一下情况,我估计恐怕是木马了。仔细一想,记得她说过前两天收过一个“我的写真flash”的邮件,里面带附件的。恩,看来想抓这个放“马”贼只有从这个邮件入手了。
    把那只小“马”抓了回来,用编辑器打开。搜索了一下可执行文件头,一个可执行文件里有两个可执行文件头。忽忽,是被捆绑机捆绑过的东东。再往下看看。恩?有类似这样的一些记录:

//注意,这些内容我已经修改了,不是原文,你要是按下面的方式解码恐怕弄出来的又是一堆乱码 ^@^

mima_wenjian:zt4=
fuwuqi:c810aC4XBjuPY14V
jieshou_youxiang:uMPyQPY14Vju=
yonghu_ming:uMPy
yonghu_mima:==My
smtp_biaozhi:ysc=
fasong_zhuti:WFhYWFg=
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

  一眼就看出来了,这是木马配置记录。恩,看来只有从这里入手了。
  显然信息经过加密了。怎么办?这到底是什么方式呢?无从下手了…………后来问起来,小金说可能是base64编码,看起来很像。后来我在木马文件的数据段中看到“base64”的字样,难道真是base64编码么?那作者也用的太简单了。恩,可是没别的办法,那只好死“马”当作活“马”医了。我查了查base64编码的资料:“当位数不够时使用‘=’进行补足。”恩,看来十有八九是base64编码了。试试看,将所有的编码都进行了解码。哈哈,出来了,用户名、服务器、邮件主题、接收邮箱……一览无余。唯一没有出来的就是用户密码。看来用户密码的编码方式没那么简单。
  这回又卡到了这。恩,这到底是个什么木马呢?再打开木马文件,仔细观察数据段,发现数据段中有“psss6.5”、“winplo.exe”、“msread.dt”这样的字样,恐怕这应该是捆绑前的木马的一些数据。去黑白看看,有没有收获吧。
  到黑白一看,下栽排名第一的QQ工具就是一个什么“QQpass598”的叫“QQ杀手”的软件。“QQ杀手”?去作者主页看看。哈哈,不看不知道,原来这个pass6.5是作者10月份新出来的,黑白的那个是老版本。抓回来这个“QQ杀手”瞧瞧,自己配置了几个木马文件,和那个捆绑过的文件比较了一下。的确是同一个木马!!!好了,木马知道是什么了,可是到底密码是怎么加密的呢?无奈,试试看吧,反正死“马”也医活过一次了。
  我把用户密码分别配置成“1”、“2”……结果在配置文件中分别显示的编码过的密码为“==QM”、“==gM”……恩?这怎么还和base64那么像?只不过“=”跑到了前面而不是补到后面。我立刻来了精神,莫非………………一不做,二不休。倒过来解码试试。原来“MQ==”、“Mg==”对应的解码就是“1”、“2”。哈哈,写得这么经典的软件,可是加密方式也太简陋了点吧?好了,吹着口哨,哼着小调将那个放“马”贼的邮箱密码也解码了出来。
  到他邮箱里看看?不得了,有不少QQ的密码。看来他干这个已经是“老手”了。找到女朋友的QQ,居然两个QQ的密码都被他拿到了。另一个8位号的,可能是他嫌长,没要。过分啊!!!删了那几封信,然后把这两天他没看的密码邮件也都删掉,让别人也少受点损失嘛。恩,他居然还把那封木马邮件存在邮箱里?嘿嘿,我把附件替换掉好了。你就傻等着收密码吧~~~哈哈哈~~
  我没有改他的密码,我还准备对他进行一段时间的监视,或许啥时候想出个更狠的着来对付他。嘿嘿~~懒猫心理早有主意了。

  好了,基本解码过程就是这样。总结一下,mima_wenjian:zt4=、fuwuqi:c810aC4XBjuPY14V、jieshou_youxiang:uMPyQPY14Vju=、、yonghu_ming:uMPy、smtp_biaozhi:ysc=、fasong_zhuti:WFhYWFg= 这些信息就是base64直接编码,只要直接解码就可以得到原来的内容。而 yonghu_mima:==My 这个实际上你把“==My”倒过来“yM==”再用base64解码,得到的就是密码了。
  
  这里懒猫提醒大家,以后收到陌生人的邮件如果带附件的话一定要小心。(实际上,如果是高手想害你,根本不用附件,nimuda病毒那种形式的邮件就够让人头疼了。)还有提醒那些放“马”贼,要想人不知除非己末为。小心去害别人,反而害了自己。
  现在这个家伙我一直在主意他,并在收集关于他的更多的资料。呵呵~~如果大家也有收到“我的写真flash”这样的邮件也可以按上面的方法试试,把“马”贼玩弄于股掌之间。
    
  由于我是菜鸟,或许有什么不对的地方。也可能一些细节我没有考虑到。如果你知道的话希望不惜指教。小弟感激不尽!!

Atitit.图片木马的原理与防范 attilax 总结

Atitit.图片木马的原理与防范 attilax 总结   1.1. 像图片的木马桌面程序1 1.2. Web 服务端图片木马1 1.3. 利用了Windows的漏洞1 1.4. 这些漏洞...
  • attilax
  • attilax
  • 2016年02月17日 00:10
  • 673

倒,chinaitlab.com也放木马

为了避免大家直接点击进去了,我把网址最后的一个l去掉了http://linux.chinaitlab.com/kernel/398660.htm  +l 刚才找linux资料访问到这个页面时,Nort...
  • liswa
  • liswa
  • 2006年07月30日 15:36
  • 790

wireshark TCP状态转换+HTTP抓包分析+提取木马SNORT规则

这里把TCP三次握手四次挥手+HTTP抓包分析放在一起分析。 说是HTTP,其实并不打算真的就协议层面去分析HTTP。因为那又是一个可以另外水一篇博客的例子了。 Tcp状态图+HT...
  • ajcaizixi
  • ajcaizixi
  • 2017年06月20日 14:32
  • 675

 种养心方法叫“放下”擅画者留白,擅乐者留声,养心者留空,何时放下,何时就会获的一身的轻松有种处事方法叫“放弃”珍惜所拥有的,放弃无法拥有的,重要的是放弃不要悔恨有种管理叫“放手”管理不是紧紧的抓住不...
  • javax88
  • javax88
  • 2008年01月15日 02:07
  • 238

图片木马绕过站点上传文件检查

第一种方法: 利用copy命令 详细操作为 1.随便找一张图片 名字改成1.jpg(名字改为1.jpg只是为了方便记忆和输入 文件的后缀随意 只要是图片的格式就可以了) 2. ...
  • cwtv123
  • cwtv123
  • 2017年03月03日 14:43
  • 235

一个驱动木马的分析

【文章标题】: 一个驱动木马的分析【文章作者】: prince【作者邮箱】: cracker_prince@163.com【作者QQ号】: 812937【软件名称】: Trojan program T...
  • iiprogram
  • iiprogram
  • 2007年01月25日 20:21
  • 1276

制作一句话图片马

*指的是代码写入后不破坏图片为前提,图片仍可正常打开。 第一种方法:一句话: 用010 Editor打开任意一张图片,将上述代码插入右边最底层或最上层后保存。第二种方法:使用CMD制作一句话木马。...
  • ltysg0645
  • ltysg0645
  • 2017年01月03日 18:00
  • 3447

一句话图片木马的制作

一句话图片木马的制作
  • netuser1937
  • netuser1937
  • 2016年12月19日 14:03
  • 1342

图解一次手动杀马过程

杀!!! 杀的对象:冰河木马残余 杀的工具:powertool, 命令行 自从上次在本机做了一次冰河木马实验之后,本机就存在一点问题; 一个是,双击.txt,不能用记事本打开;一个是上...
  • bcbobo21cn
  • bcbobo21cn
  • 2016年07月17日 17:35
  • 749

试一下treeview接收什么样的数据类型

界面就一个treeview
  • vipzjh
  • vipzjh
  • 2017年02月15日 15:17
  • 392
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:追踪放“马”贼——从木马中分析放马者手记
举报原因:
原因补充:

(最多只允许输入30个字)