百度官微所谓首家发现“拉丝人”盗号木马分析

kangkai

//   昨天晚上回家看见百度杀毒官方微博发了一条所谓“拉丝人”的盗号木马微博，说是首家发现拦截，其实这类样本（盗号集团）在很早之前就出现了，但是百度在最近才截获，还冠以国内安全厂商均未能识别出该木马，感到恶心。从时间戳就能看出此木马出现很久了。
//  好久没有在论坛冒泡，今天冒个小泡泡，活跃下论坛气氛


样本信息：

文件: C:\Users\administrator\Desktop\9913c5bac226057b1c0c7b98df0d982b.exe
大小: 57482 字节
修改时间: 2014年8月8日, 19:03:31
MD5: 9913C5BAC226057B1C0C7B98DF0D982B
SHA1: B66BF491482852B36B5EF4AA0C04AA05AD7AA9AC
CRC32: 7B4F6042
壳信息：UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
时间日戳：02/07/2014

病毒行为：

此盗号木马通过三个CreateThread函数不断查找注册表QQ安装目录，以此找到QQ的安装目录；删除QQ用户数据；母体资源目录自带来一个PE文件rasmall.dll，释放虚假的系统文件rasman.dll进行dll劫持； Rasman.dll通过hook QQ的TSSafeEdit.dat和LoginLogic.dll模块，获取登陆框加密前的密码，从而取得QQ密码


详细分析：

一、 母体分析
1.  盗号木马母体运行后，会创建三个线程查找QQ的安装目录






2.  删除Tencent Files目录下的所有文件，导致用户保存密码失效，需要重新输入密码，以此方式HooK得到用户密码




二、盗号模块分析

1. 盗号模块一上来就是创建一个线程，来对QQ的密码保护模块和登陆模块进行Hook



2. 通过OD查看挂钩hook的地址





3.  接收QQ密码服务器 、Hook TSSafeEdit.dat、 获取QQ版本号等信息








三、被注入后QQ.exe调试分析

1. 被注入后情况




2. 对密码的盗取主要通过对TSSafeEdit.dat模块hook实现，Hook的地方刚好是密码在加密之前的地方，这导致木马可以获取到明文密码








3. 获取的QQ版本号和QQ密码  




获取到明文密码后，木马就会将密码发送至木马作者服务器“http://222.186.130.187:81/qq/lin.asp”


四、后话

互联网安全之路还很漫长，传统的安全威胁和新型的安全都在齐头并进！在双重威胁的夹击下，保持良好的上网习惯是保障安全最有效地方式之一。在日益猖獗的木马病毒后面，也有许多安全从业者在夜以继日的奋斗，和安全威胁斗争。
致谢：感谢 willJ  在技术路上对Me的帮助  @willJ

heike606060

大神，看私信呀，找你呢

arryboom

网址打开之后：
ORIGINAL STRING: Now is the time for all good men to come to the aid of their country.

KEY VALUE: BR#J;)+%*=#,SLV.5;'IY7A[K9CEMJX8,\1ZU3B:L\$G#>/)@(6^L?E5P>?:81;\^W;G/

ENCRYPTED CYPHERTEXT: =TjRZQBXX:!3STUi8[-{,V,!m'=V(^z6\/_l(KgWVJ !AR~#YeA8[VHRT)0#I>


no

a1014

我是1L吗？

c8500s

没积分给你了,,,不错...

Tong

多谢分享

gzrheheyixiao

前来围观大神的分析！学习一番！

扯淡、、

大神啊。膜拜

宿命棋局

顶起，很不错的分析

孤芳独步

请告诉我我是第几楼？

amisiyuoy

laser病毒