追踪放“马”贼——从木马中分析放马者手记

两年前的文章，拿过来充充门面。

——————————————————————

追踪放“马”贼——从木马中分析放马者手记

( 作者：mikespook | 发布日期：2002-12-25 | 浏览次数：545 )

关键字：base64,QQ,木马

前言：     本文章只是为了给广大和我一样的菜鸟一个指引。这里我要特别感谢小金（LK007）对我的帮助。     早上爬起来收到女朋友来的短信，说QQ被人盗掉了。我一听，这还了得？太岁头上动土，居然偷到我懒猫这来了？电话里详细问了一下情况，我估计恐怕是木马了。仔细一想，记得她说过前两天收过一个“我的写真flash”的邮件，里面带附件的。恩，看来想抓这个放“马”贼只有从这个邮件入手了。     把那只小“马”抓了回来，用编辑器打开。搜索了一下可执行文件头，一个可执行文件里有两个可执行文件头。忽忽，是被捆绑机捆绑过的东东。再往下看看。恩？有类似这样的一些记录： //注意，这些内容我已经修改了，不是原文，你要是按下面的方式解码恐怕弄出来的又是一堆乱码　^@^ mima_wenjian:zt4= fuwuqi:c810aC4XBjuPY14V jieshou_youxiang:uMPyQPY14Vju= yonghu_ming:uMPy yonghu_mima:==My smtp_biaozhi:ysc= fasong_zhuti:WFhYWFg= XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 　　一眼就看出来了，这是木马配置记录。恩，看来只有从这里入手了。 　　显然信息经过加密了。怎么办？这到底是什么方式呢？无从下手了…………后来问起来，小金说可能是base64编码，看起来很像。后来我在木马文件的数据段中看到“base64”的字样，难道真是base64编码么？那作者也用的太简单了。恩，可是没别的办法，那只好死“马”当作活“马”医了。我查了查base64编码的资料：“当位数不够时使用‘＝’进行补足。”恩，看来十有八九是base64编码了。试试看，将所有的编码都进行了解码。哈哈，出来了，用户名、服务器、邮件主题、接收邮箱……一览无余。唯一没有出来的就是用户密码。看来用户密码的编码方式没那么简单。 　　这回又卡到了这。恩，这到底是个什么木马呢？再打开木马文件，仔细观察数据段，发现数据段中有“psss6.5”、“winplo.exe”、“msread.dt”这样的字样，恐怕这应该是捆绑前的木马的一些数据。去黑白看看，有没有收获吧。 　　到黑白一看，下栽排名第一的ＱＱ工具就是一个什么“QQpass598”的叫“ＱＱ杀手”的软件。“ＱＱ杀手”？去作者主页看看。哈哈，不看不知道，原来这个pass6.5是作者１０月份新出来的，黑白的那个是老版本。抓回来这个“ＱＱ杀手”瞧瞧，自己配置了几个木马文件，和那个捆绑过的文件比较了一下。的确是同一个木马！！！好了，木马知道是什么了，可是到底密码是怎么加密的呢？无奈，试试看吧，反正死“马”也医活过一次了。 　　我把用户密码分别配置成“１”、“２”……结果在配置文件中分别显示的编码过的密码为“==QM”、“==gM”……恩？这怎么还和base64那么像？只不过“=”跑到了前面而不是补到后面。我立刻来了精神，莫非………………一不做，二不休。倒过来解码试试。原来“MQ==”、“Mg==”对应的解码就是“１”、“２”。哈哈，写得这么经典的软件，可是加密方式也太简陋了点吧？好了，吹着口哨，哼着小调将那个放“马”贼的邮箱密码也解码了出来。 　　到他邮箱里看看？不得了，有不少ＱＱ的密码。看来他干这个已经是“老手”了。找到女朋友的ＱＱ，居然两个ＱＱ的密码都被他拿到了。另一个８位号的，可能是他嫌长，没要。过分啊！！！删了那几封信，然后把这两天他没看的密码邮件也都删掉，让别人也少受点损失嘛。恩，他居然还把那封木马邮件存在邮箱里？嘿嘿，我把附件替换掉好了。你就傻等着收密码吧～～～哈哈哈～～ 　　我没有改他的密码，我还准备对他进行一段时间的监视，或许啥时候想出个更狠的着来对付他。嘿嘿～～懒猫心理早有主意了。 　　好了，基本解码过程就是这样。总结一下，mima_wenjian:zt4=、fuwuqi:c810aC4XBjuPY14V、jieshou_youxiang:uMPyQPY14Vju=、、yonghu_ming:uMPy、smtp_biaozhi:ysc=、fasong_zhuti:WFhYWFg=　这些信息就是base64直接编码，只要直接解码就可以得到原来的内容。而　yonghu_mima:==My　这个实际上你把“==My”倒过来“yM==”再用base64解码，得到的就是密码了。 　　 　　这里懒猫提醒大家，以后收到陌生人的邮件如果带附件的话一定要小心。（实际上，如果是高手想害你，根本不用附件，nimuda病毒那种形式的邮件就够让人头疼了。）还有提醒那些放“马”贼，要想人不知除非己末为。小心去害别人，反而害了自己。 　　现在这个家伙我一直在主意他，并在收集关于他的更多的资料。呵呵～～如果大家也有收到“我的写真flash”这样的邮件也可以按上面的方法试试，把“马”贼玩弄于股掌之间。      　　由于我是菜鸟，或许有什么不对的地方。也可能一些细节我没有考虑到。如果你知道的话希望不惜指教。小弟感激不尽！！