Windows应急响应-QQ巨盗病毒

原创 于 2024-10-06 22:08:35 发布 · 1.5k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #网络安全

文章目录

病毒背景

简介:Win32.PSWTroj.QQPass,名为:【QQ伪装盗号者】是一种QQ盗号木马,它会注入用户电脑的系统进程中运行,盗取病毒作者指定的帐号和密码以及其号码的其他信息。
参考链接:https://baike.sogou.com/v126222.htm

样本分析

病毒主程序样本名字是servere.exe,双击他就会开始感染
在这里插入图片描述

开启监控

用到两款工具,主要还是D盾的监控文件比较好用
1.MyMonitor
工具链接分享:
https://pan.baidu.com/s/1RKOR_LvfNX8QqEyJaDFq1Q?pwd=azwh
2.D盾
工具链接分享:
https://pan.baidu.com/s/13hCSYpV5Mn_1JMzy4nSkSQ?pwd=kott
在这里插入图片描述
MyMonitor打开即可,待会感染病毒需要将程序拖进去运行监控,然后将D盾监控文件夹,监控c盘和d盘,但是d盾只能一次监控一个文件夹,这里我就主要监控c盘,最后才补上监控d盘的操作。

感染病毒

D盾监控c盘功能打开后,就将程序文件拖进MyMonitor
等待程序运行推出即可看到报告,然后D盾也能看到具体操作了哪些文件
在这里插入图片描述

分析病毒行为

因为D盾一次只能监控一个盘符,所以分两次进行监控。我们使用虚拟机可以还原快照,所以多次监控也不算很麻烦,如果各位道友有发现更好的监控文件工具还请留言~

C盘文件监控

MyMonitor简单看下就行,我感觉分类的不是很好,确实能看到操作,但是不能分类而且有的行为没有检测到,所以下面就围绕D盾来查看病毒到底做了些什么事情。
最明显就是创建了四个文件(看异常的主要的就行,像log后缀哪种日志可以忽略)
在这里插入图片描述

线索卡:
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe

往下看还有创建了dll文件,在这中间其实还有很多重复创建操作,这个我理解为病毒是为了防止程序没有创建成功所以多次创建得原因,病毒就这么写的。
在这里插入图片描述

线索卡:
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe
5.c:\windows\system32\qvkwjh.dll

往下看有一个动作是删除host文件然后创建了hosts文件,这个可以记录下来,后面需要去确认一下他对hosts文件做了什么手脚,一般可能是对域名进行ip替换之类的
在这里插入图片描述

线索卡:
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe
5.c:\windows\system32\qvkwjh.dll
6.修改了c:\windows\system32\drivers\etc\hosts

这里我双击d盘后创建了hx1.bat文件,具体行为是:设置系统时间为2004-1-22,因为后面有一个删除操作,文件不存在了就不找了,但是需要人为将时间设置回来。
在这里插入图片描述

线索卡:
1.c:\windows\system32\severe.exe
2.c:\windows\system32\qvkwjh.exe
3.c:\windows\system32\drivers\jwbnlb.exe
4.c:\windows\system32\drivers\conime.exe
5.c:\windows\system32\qvkwjh.dll
6.修改了c:\windows\system32\drivers\etc\hosts
7.hx1.bat设置系统时间为2004-1-22,记得修改回来正确时间

D盘文件监控

将虚拟机恢复快照,重新开启d盾监控d盘,然后重新感染一遍病毒,这里看监控结果就一目了然
1.创建d:\oso.exe
2.创建d:\autorun.inf
在这里插入图片描述

线索卡:
1.c:\wi

最低0.47元/天 解锁文章
映像劫持 Image Hijack
KAKA的博客
07-06 1398
“映像劫持” —— IFEO(Image File Execution Options:映像文件执行参数),其实应该被称为 “Image Hijack” 原理 原理请看 tombkeeper 的所表: Windows NT系统在执行一个从命令行调用的可执行文件运行请求时,首先会检查这是否是一个可执行文件,如果是,又是什么格式的,然后就会检查是否存在: [HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Option
解密QQ号诈骗APP:逆向溯源,探寻幕后黑色操作
weixin_43803070的博客
03-11 3807
解释一下叭,str为我们需要解密的字符串,自定义函数中的前三行为补齐base64要求的4的整数倍长度,不足补 = 即可,刚好url_safe操作base64库提供了函数urlsafe_b64decode,剩下的只需要注意字节转换即可。拿到样本app后,首先查壳,无壳,现在骗子难道不会加壳吗?想来想去我还是挺难受的,看他每天几百条的骗取别人的qq,心里很难受,我决定做点什么,但又做不了什么,因为我一旦ddos他的vps,他又会换一个vps继续号,于是,没事干就分析下加密吧,正好再熟悉熟悉写脚本。
装了卡巴电脑更卡?原来是Trojan-PSW.Win32.QQPass号木马群作梗2
Purpleendurer@优快云
04-15 1937
装了卡巴电脑更卡?原来是Trojan-PSW.Win32.QQPass号木马群作梗2endurer 原创2008-04-15 第1版(续1)开始修复~到 http://purpleendurer.ys168.com下载bat_do和FileInfo并运行,到 http://tool.kaka.com 下载安装瑞星卡卡安全助手并运行,扫描出4个流氓软件,清除它们,接着切换到[高级
关于映像劫持
weixin_46661122的博客
11-30 8880
什么是映像劫持? “映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式
又遇Trojan.PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等2
Purpleendurer@优快云
06-16 4105
又遇Trojan.PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等2endurer 原创 2008-06-16 第1版(继1)到 http://purpleendurer.ys168.com下载 FileInfo、bat_do。先用FileInfo 提取log中的红色标记的文件的信息,然后把log中的红色标记的文件加入/拖入 bat_do,全选,用
最新号版软件手机下载/号专用软件手机版下载-零开始网安教学
程序员六七的博客
07-20 1万+
本文目录一览:号神器qq密码手机版从哪里下载QQ,已经过时了。现在的QQ,把密码告诉你,你也不走,因为你不能改密码。黑客二维码别人号怎么破解?
qq软件下载手机版_号q神器手机版下载无需密码_号q神黑客软件下载_详细白帽子指南
2401_84915584的博客
07-01 1万+
qq号木马(如何防范和应对?)二维码扫描登陆 *** 如今的 *** 登陆界面新增了二维码登陆,如果您在网吧上网,在无法确定 *** 安全环境下,采用二维码扫描登陆
手机qq软件下载/手机qq的软件-0基础网安笔记
程序员六七的博客
05-30 6503
qq手机管家2013安卓版是腾讯2013年发布的手机安全管家,软件拥有骚扰拦截,手机令牌,手机加速,病毒查杀,流量监控等诸多功能,可以更好的保护手机安全。
又遇Trojan.PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等1
Purpleendurer@优快云
06-13 1704
又遇Trojan.PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等1endurer 原创 2008-06-13 第1版 一位朋友说最近他的电脑中的瑞星杀毒软件和防火墙软件的实时监控图标不见了,电脑反应很慢,请偶帮忙检修。下载 pe_xscan 扫描 log 并分析,发现如下可疑项:pe_xscan 08-04-26 by Purple Endu
映像劫持技术(1):简单介绍
weixin_30449453的博客
01-01 299
映像劫持,即Image File Execution Option.在深入了解这个概念之前,可以简单地认为,它可以令应用程度重定向。这是注册表里的一个功能,可以做这样的尝试: 打开注册表——定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options...
内网权限维持——映像劫持&CLR劫持
最新发布
qq_55202378的博客
08-04 1807
IFEO(,镜像文件执行选项)是windows系统的一个注册表项,路径为。在windows NT系统中,IFEO原本是为一些在默认系统环境中允许是可能引发错误的程序执行体提供特殊的环境设定。利用IFEO,开发人员能够在程序运行之前执行程序所配套的环境配置程序。
Windows权限维持—自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon
剁椒鱼头没剁椒的博客
08-17 2522
Windows系统中,很多后门利用的方式不是太会区别在域中还是单机上,只是需要考虑在没有网络情况下,如何将shell反弹回来,就比如,在域中一个无网络的主机和一台有网络的主机,前期通过有网络的主机转发上线到无网络主机上,那么我们木马是不是也可以这样设置,在无网络中设置一个正向木马,让其在运行,在有网络中设置一个反向的木马,让其运行,那么我们去连接的时候只要去连接反向木马就可以了,然后在通过这个反向木马去连接正向木马,不就可以了。所以攻击者很有可能通过篡改这些辅助功能的指向程序来达到权限维持的目的。
映像劫持技术
whl0071的专栏
04-28 1244
映像劫持技术
最全QQ号手法分析,全面防御QQ
热门推荐
abraham76的博客
11-16 10万+
你的QQ是否被过号,或者你身边的朋友、同学是否有过被号的经历。如今的安全机制真的没有效吗?号真的这么简单吗?本期将彻底解决这一问题。 本期是上一期的姊妹篇,建议先看上一期,这样对于攻击者的手法才有更好的理解:传送门 常见的号手法 1、诱导链接以及二维码   这种情况在QQ群里面见的多。通常是发送一些具有诱惑性的链接诱导你去点击。也可能会是一些二维码,如下图。为了做这期,能更好的了解其号的手段,我把凡是我看到的号链接都点了个遍,那些恶意二维码我也扫了个遍。这是我在了解其原理并做了相应的安全措施.
号工具手机版下载/手机版号工具下载网站-详细信息安全教学
2401_84915584的博客
06-26 5092
用360浏览器进入版网页会被吗?最近发生了多起dnf至尊宝被事件。以下是边肖为您带来的,并利用BUGhacking原理进行分析,我在进入账号的网站填了我的小号
Q软件测试面试题,软件测试相关面试题+答案
weixin_32120627的博客
07-23 482
select name from student where name not in(select name from student where fenshu<=80) public boolean isElementPresent(By by){try{driver.findElement(by);return true;}catch(Exception e){return false;...
QQ病毒——天眼查询系统
2201_75362610的博客
04-12 2718
手机病毒是一种具有传染性、破坏性的手机程序,可用杀毒软件查杀,也可以手动卸载。手机病毒可通过发送短信、彩信、电子邮件,浏览网站,下载铃声,应用蓝牙传输等方式进行传播,会导致用户手机死机、关机,个人资料被删,对外发送垃圾邮件,泄露个人信息,自动拨打电话、发送短 彩)信等,甚至会损坏SIM卡、芯片等硬件,导致手机无法正常使用。病毒的种类有很多,有勒索病毒、恶意病毒等等今天说的是一种手机QQ病毒-天眼查询系统。
病毒木马查杀实战第009篇:QQ号木马之手动查杀
Gleam的专栏
12-23 4177
一、前言         之前在《病毒木马查杀第002篇:熊猫烧香之手动查杀》中,我在不借助任何工具的情况下,基本实现了对于“熊猫烧香”病毒的查杀。但是毕竟“熊猫烧香”是一款比较简单的病毒,它并没有采取一些特别强的自我保护技术,所以我们完全可以“徒手”解决。但是这次研究的恶意程序就没那么简单,它采取了进程保护的技术,使得我们不能够使用常规手法对其实现查杀。所以这次我引入了两个工具——iceswo
黑客工具大全
Sunny
01-13 1万+
一、扫描工具Domain2.2-集WHOIS查询、上传页面批量检测、木马上传、数据库浏览及加密解密于一体!下载X-way 2.5-这也上一个非常不错的扫描器哦!功能非常多!使用也不难,入侵必备工具!下载SuperScan 3.0-强大的TCP 端口扫描器、Ping 和域名解析器!下载Namp 3.5-这个就厉害了,安全界人人皆知的非常有名气的一个扫描器!作者Fyodor下载Hscan v1.20-
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

竹等寒

谢过道友支持,在下就却之不恭了

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值