易语言QQ钓鱼程序简单分析

水平有限 请轻喷.

这是一个易语言写的钓鱼程序,把自己伪装成一个QQ安全中心界面.

其实我也没用过易语言,但在我看来(可能是我水平不高看不出来) 病毒内部循环繁杂无章,启动较慢...

 

简单差了一下程序没有加壳

病毒很简单没加壳,这也是我第一次分析易语言. 没有什么特别的技巧,OD载入跟随.

 

具体过程很简单F8如果程序跑起来就断点,跟进去.  繁杂的过程就不写了,没什么意思

下面来看看几个比较有意思的地方

发现setwindowspos函数发现这里有一个循环.果断下断点

第一次到这个函数,出现这样的选项

看到这里窗口句柄居然有一串中文   觉得很可能是一个模板木马生成的东西.

中共运行8次之后才跑过此段点,8个窗口? 想做什么?.

 

继续跟进,里面循环函数实在太多, 估计是作者为我们设置的障碍什么的,果断放弃了继续跟随.直接让程序跑起来.

随便输入一个账户和密码,发现会弹出一个MessageBox 消息框.  

 

 

返回OD  CTRL+N找到MessagBox下断点.

 

然后重新来一次.. 在此画个圈圈诅咒作者把程序写的这么慢,让我等好久.

果然在此处断了下来,

 

然后ctrl+k 显示堆栈调用

 

进入上面这个地址,就是他调用的messagbox

然后往上看,发现还是一个被调用的函数..

再看看堆栈窗口

进去一看发现了很多惊喜

这么多jmp  我觉得点登陆 必有一中! 全部下断点    额上面注释我懒得抹了,各位看官请忽略.....

再次重新载入一次, 再次诅咒下作者程序跑的这么慢

 

输入密码点登陆  果然断下 然后跟进,但并没到达目的地.  不过我相信胜利的曙光一定在我前面!

正常人应该不会写成不点登陆就把密码发出去吧```````````

然后继续苦逼的跟进,,,直到这里

 

感觉关键的地方来了  

打开IDA  g 输入 00460060  然后F5查看源代码  这个地址,为什么这关键呢, 看下面    函数很长我就截取一部分了

 

第一眼看见 HttpSendRequestA   我就乐开了花, 哈哈即使不懂这个API   看这个字面意思也懂了.

CTRL+N

这三个API下断点,然后运行

 

 

 

 

 

另外 在00461960函数内 还有smtp发送邮件方式  不过并没有调用 

在IDA里向上跟跟看

通过这种方法一次向上寻找地址然后OD里下段点. 均无一处断下

下面试试添加yara规则,然后扫描..   很好用的一个东西

 

 好了 这就完了,  接触逆向时间不长,水平有限, 欢迎指点.

样本解压密码