2007-7-24 10:38
第五行者
QQ木马盗号原理分析
[size=3]1、QQ木马激活后,会释放出一个“Deleteme.bat”批处理文件,把自身删除。所以当你不小心双击了木马时,会发现木马程序消失了;
2、创建一个木马副本Ntdhcp.exe复制到%system32%系统目录下,随即激活该副本;
3、写入注册表HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run,键项为NTdhcp,值为"c:\WINDOWS\System32\NTdhcp.exe" ,实现自启动保护;
4、扫描系统是否存在表中的一些系统安全软件,如杀毒软件,防火墙的,如发现相关窗体或类名存在(FindWindowExA()或FindWindowA()),则终止掉其进程;
5、去掉QQ键盘锁保护
A. 如果QQ正在使用,终止该程序后修改npkcrypt.sys为npkcrypt.bak,阻止QQ.exe的加载;
B. 如果QQ没有在使用,同样改名npkcrypt.sys,阻止QQ.exe键盘锁的加载;
(哦,原来他也并不是完全从技术上攻破QQ键盘锁,这里要引起大家的注意了,如果发现QQ键盘锁成红色叉的图标,可要及时检查系统安全,以免QQ被盗)
6、打好基础后,就可以等待受害的用户上钩了。。
A. 用到日志钩子(JournalRecord),记录键盘事件;
B. 当获取到相当的类名及窗体值时,激活键盘记录事件,记录写入%Windows%\ala2qq
可以用记事本方式打开%Windows%\ala2qq,其内容结构如下:
[QQ]
这里存放号码这是密码=ok
这里存放号码这是密码=ok
[PC]
addr=
ip=[/size]
(本文以老版本的啊拉QQ大盗为例,并不是所有盗号木马行为均与此完全相同,但基本原理是一致的)