盗号木马分析

最新推荐文章于 2024-03-30 21:36:42 发布
最新推荐文章于 2024-03-30 21:36:42 发布
阅读量3.2k 收藏 5
点赞数 2
分类专栏: 病毒木马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011636170/article/details/53282636
版权

木马共采用vb和c#两种外壳,来保护真正的核心代码,并采用采用对核心代码加密来躲避杀软,从执行到结束都在内存中,无交互,收集完信息之后直接通过RC4加密后发送到C&C服务器,同时里面有很多反虚拟机和反分析技术。发送完信息直接删除原文件,消失的无影无踪。经分析发现,此盗号木马通过本地的一些配置、缓存、.dat文件可以盗取多种FTP、浏览器、邮箱、虚拟币的账号和密码。

代码分析
此木马一共分为两个版本分别是C#和VB版本,都是通过对目的功能代码进行加密,以及利用注入技术将核心功能注入到僵尸进程中来隐藏其真实目的,然后运行核心功能,进行盗号,然后发送到服务器
我们先看一下大致流程

1 样本首先,从资源里加载了两段字符串,一个是key,一个是要解密的字符串,下图是解密函数
这里写图片描述
可以看到是一个PE文件。原样本后来就是让这个PE文件运行起来
这里写图片描述
2继续分析第二个pe文件,第二个pe文件也是用C#写的,这样加密以后放到资源文件也是为了对抗杀软,反编译后可以看到这个文件是个比较完整的后门程序,功能很全,通过资源里面的关键字来判断执行什么功能
首先看看关于对抗分析的

这里写图片描述
(1) 对抗沙盘,检测到沙盘的核心dll,则退出

最低0.47元/天 解锁文章
左道diffway
关注
专栏目录
网络安全之盗号木马原理
晓伟的专栏
09-20 7654
网络安全之盗号木马原理 现在,腾讯在中国几亿的QQ用户,经常会听到身边的人说:我QQ号被盗了。前几天旁边的同事有朋友给他打电话说他的QQ在向人发借钱的信息。   昨天和一同学吃饭,因为这位同学在某家培训机构培训.Net,他和我说老师教他们做了一个和QQ登录窗口完全一样的小程
最新盗号版软件手机下载/盗号专用软件手机版下载-零开始网安教学
最新发布
程序员六七的博客
07-20 3785
本文目录一览:盗号神器qq密码手机版从哪里下载盗QQ,已经过时了。现在的QQ,把密码告诉你,你也盗不走,因为你不能改密码。黑客二维码盗别人号怎么破解?
盗号木马之旅(一)
热门推荐
qq_36760780的博客
08-14 1万+
申明:本文仅仅用于技术交流,请勿用于非法目的!!!                                         重要的事情说三边!请勿用于非法目的!!!请勿用于非法目的!!!请勿用于非法目的!!!   背景:         不久前看了一些安全方面的书籍。在看完了《计算机病毒揭秘与对抗》---王倍昌书 以后,打算找个目标试试手。首先说明下,本次使用的技术都是很平常的,...
盗号木马
吃螃蟹的虾子
05-12 918
昨天曾经遭遇到木马袭击。。很纳闷在瑞星防火墙开启的情况下。。它是如何进入我的电脑里的。现用360抓到两个木马程序。win32.QQpsw.bploginctrl.f1   c:/windows/system32/ptshell.exeTrojan/Win32.Ck88866.Gen  c:/windows/urxxixia.exe以下是一些报警信息Trojan.PSW.Wi
盗号木马Trojan-PSW.Win32.OLGame.vdh
04-03 1450
Trojan-PSW.Win32.OLGame.vdh捕获时间2008-03-27病毒症状  该病毒是使用VC编写的盗号程序,由微点主动防御软件自动捕获,采用UPack加壳方式试图躲避特征码扫描,加壳后长度为19,936字节,图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播。病毒分析  该木马程序运行后,检测系统中是否存在avp.exe进程,如果有则通
病毒木马查杀实战第012篇:QQ盗号木马之逆向分析
墨鱼菜鸡
01-13 319
前言 在本系列的文章中,对每一个病毒分析的最后一个部分,若无特殊情况,我都会采用逆向分析的手段来为读者彻底剖析目标病毒。但是之前的“熊猫烧香”病毒,我用了三篇文章的篇幅(每篇2500字左右)也仅仅分析了病毒的三分之一,而且还没分析到病毒的核心部分。主要也是因为那是我这个系列为大家分析的第一个病...
7.深入分析游戏盗号的原理.rar
10-20
游戏盗号者通常利用木马病毒、键盘记录器或者社交工程等手段来获取用户的账号信息。这些恶意软件会在用户不知情的情况下安装到电脑上,记录用户的键盘输入,包括登录游戏时的用户名和密码。一旦获取了这些信息,盗号...
木马伪装“刷单任务” 劫持QQ语音暗中盗号
Coisini的博客
06-12 2384
近日,360 QVM团队发现一类QQ盗号木马异常活跃。该木马通过QQ语音(QTalk)在网购刷单人群中大肆传播,并劫持Qtalk的文件隐蔽运行,通过弹出虚假的QQ语音登录框实施盗号。 此木马限于QTalk用户之间传播,淘宝刷单者常“驻扎”在QQ语音的房间内,等待接单。而不法分子则伪装为淘宝卖家,与刷单者加为QQ好友,并向其发送由木马伪装的“刷单任务”,伺机窃取刷单人群的QQ账号和密码。 360...
基于变形方法的网页木马免杀相关技术分析.pdf
04-07
互联网技术的普遍运用虽然给 人们的生活带来了极大的便利,但是与此同时,也出现了一些问题,严重威胁到互联网用户的隐私安全,木马导致的网络不安全性已经引起了社会各界的普遍关注,尤其是网络木马带来的盗号、...
盗号木马之旅(四)
qq_36760780的博客
08-14 1445
目标:        实现服务端的代码编写,用于接受木马发回的消息。 实现:      由于这一篇实现任务比较简单,我就讲一下密码的消息接收,账号类似。由于密码一开始我们需要接受密码本,所以我们需要区分一下发来的是密码本还是未翻译的密码。由于为了方便我们只模拟10个数字,所以一共20个字符(加上对应的BackSpace,因为不想让用户看出为何密码框平白无故多出10字符,所以我们需要删除)。之...
盗号木马之旅(二)
qq_36760780的博客
08-14 1480
背景:        看完了第一篇  WeGame盗号木马之旅(一)  ,相信读者已经大概明白了我们需要干什么。下面我稍微详细的介绍一下我们接下来需要实现的部分:         一、编写驱动级键盘模拟点击驱动。         二、编写具体注入到目标EXE,实现按键截取的代码。         三、编写服务端接受消息的程序。         四、编写具体的病毒EXE,实现感染目标EXE...
盗号木马之旅(三)
qq_36760780的博客
08-14 1005
背景:        上一篇 WeGame盗号木马之旅(二) 我们实现了键盘按键模拟驱动的开发,这篇我们实现下具体注入代码的编写。 目标:       具体的注入代码编写。实现账号获取和密码获取。 实现:       下面放两张图形象的说明我们这篇具体是写什么代码: 上面就是具体的感染过程。这一篇我们写的注入代码就是上面橙色框内的代码,后面我们会写InfectiveVirus....
找寻盗号木马的踪迹。
u011583120的博客
03-30 129
我在SearchHost进程中找到了CoreMessaging.dll模块,里面的PostMessageW函数可疑。下面是我的hook代码。这一段时间,我在找盗号木马的踪迹,这是我的记录及心得。我的系统是windows11系统。找盗号木马,用的是这个命令。我将这两个文件发上来。根据进程找可疑ip可以定位木马。这段代码通过进程名获得pid.最后的-b参数能显示进程名。
VB全局HOOK写游戏盗号木马
07-09 231
思路: 1、用spy++工具获取目标游戏窗体句柄 2、使用timer控件检测句柄是否为当前窗口 3、帐号密码获取:使用全局HOOK键盘记录 4、发送....(这步方法很多,也是最难的一部分,本人采用winsock控件实现的,这里不详细说了,嘿嘿怕你做出木马,说是我教的) 现在详细
[2006-04-12]一个下载传奇盗号木马的网站(第2版)
Purpleendurer@CSDN
04-12 2801
endurer 原创2006-04-12 第2版 补充:kaspersky的回复2006-04-11 第1版网页:hxxp://www.****44mtv.com/vod/index1.htm中被加入 <iframe src="hxxp://www.****26cd.com/test/index.htm" height="0" width="0" MARGINWIDTH="
一个QQ盗号木马是这样诞生的(C#)
weixin_30270889的博客
01-31 367
声名:以下代码仅为学习研究之用,如有利用与其他之用,任何后果与本人无关! 开始我们创建一个工程名字叫VirTest,我们先做一个与QQ登陆界面一样的的界面出来如图所示: 在linkLabel我们填加如相应的web地址,这一步我就不说了. 为了做的更逼真,我决定把查杀木马也做了,我在这个界面放了2个重叠的panel分别是: 这两个panel是重叠在一起的他们的visbile属性应该是...
病毒木马查杀实战第009篇:QQ盗号木马之手动查杀
Gleam的专栏
12-23 3971
一、前言         之前在《病毒木马查杀第002篇:熊猫烧香之手动查杀》中,我在不借助任何工具的情况下,基本实现了对于“熊猫烧香”病毒的查杀。但是毕竟“熊猫烧香”是一款比较简单的病毒,它并没有采取一些特别强的自我保护技术,所以我们完全可以“徒手”解决。但是这次研究的恶意程序就没那么简单,它采取了进程保护的技术,使得我们不能够使用常规手法对其实现查杀。所以这次我引入了两个工具——iceswo
QQ盗号产业链分析:现状、挑战与应对策略
QQ盗号产业链的运作模式复杂且精细,包括了木马作者、中央头目、晒号者、洗号者等多个角色。这些犯罪分子通过低成本、高利润的方式进行有组织的犯罪活动,他们利用各种技术手段,如挂机、挂改、打码等,进行盗号和...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值