本帖最后由 云在天 于 2018-6-8 22:46 编辑
QQKEY盗号木马新型变种溯源分析
报告编号: B6-2018-060801
报告来源: 360CERT
报告作者: 360CERT
更新日期: 2018-06-08
前言
近日360CERT监测到一种可以免杀市面上几乎所有主流杀软的QQKEY盗号木马变种,并且木马作者公然在国内搭建网站对外销售此木马,360CERT在收到木马变种后第一时间对该样本进行分析。
(上图:木马作者官网图片)
木马分析
根据我们捕获到的样本发现,该盗号木马相比以前发现的盗号木马功能相对要全面一些:
(上图:木马初始化阶段)
在启动程序的时候根据木马传播者的后台账号生成QQKEY收信地址,并且使用taskkill命令结束360安全卫士进程。
(上图:获取当前电脑已登录的QQ)
该木马获取QQKEY的方式与此前发现的没有改变,依旧还是通过QQ快速登录的逻辑漏洞获取。
临时解决办法:木马将获取QQKEY的网页端口固定在4300,可以尝试多登录几个QQ,然后关闭第一次登陆的QQ,使后续登陆的QQ快速登录服务改到4301-4310端口即可。
溯源分析
(上图:域名WHIOS信息)
事后,我们根据该木马的C&C地址查询了一下域名WHIOS信息,得知:
联系人:刘千仪 联系邮箱:649484636@qq.com 手机号:17602394355 QQ号:649484636
不过后续我们查询了一下域名信息修改记录得知:该域名应该是已备案域名二手过户而来,姓名与备案信息可能不真实。
(上图:格子网店信息)
(上图:百度贴吧信息)
根据QQ号,我们在搜索引擎搜索到该木马作者在百度贴吧、格子网店等等公布过自己的联系方式:
手机:13883208351 百度贴吧账号:小仓鼠旋风
原来贴吧也是他推广销售木马的一种渠道。
(上图:木马官网联系信息)
我们通过官网发现了他用于销售推广木马的专用QQ小号及QQ群。
(上图:QQ群公告)
(上图:群成员信息)
我们创建了一个QQ小号加群后发现:
文件下载:gulang002 售后处理邮箱:opsh15@163.com
(上图:网盘信息)
我们发现他的网盘内包含有两个生成器:ASP版、MYSQL版,同时后面跟着广告信誓旦旦的说能过360,且网盘在线人数还不低。
(上图:360安全卫士查杀)
但是我去验证了一下所谓能过360的说法,结果让我非常失望,被360安全大脑的QVM引擎给查杀了。
(上图:软件内FTP连接信息)
我们下载了他的ASP版看了一下,脱壳后发现他的字符串中竟然带有网站的FTP连接信息:
FTP: sx.xcjze.cn
(上图:FTP中QQKEY目录)
(上图:部分QQKEY信息)
我们验证了该连接信息的准确性,并且发现该QQKEY目录内包含有以木马生成器登陆账户名命名。
点开其中一个目录的QQKEY.TXT后发现里面包含有各种QQKEY信息。
后话
根据上面分析我们得知目前在国内滋生的盗号产业十分猖獗,并且他们的手段仅仅只是HTTP GET而已,一般情况下AV都会将这种行为给忽略,所以此类木马做免杀非常容易。 | 
[复制链接]
发表于 2018-6-9 13:23
发表于 2018-7-11 09:01
不专业的转载
