密码锁:QQ安全攻防的道密码锁对决QQ大
盗
疯狂代码 http://CrazyCoder.cn/ :http:/CrazyCoder.cn/QQ/Article67545.html
今天收到网友邮件强烈推荐我款最新QQ密码盗取木马生成器——全能QQ大盗 我就纳闷呢这年头如何有
这么多人对这玩意这么感兴趣呢……不管如何说盛情难却就收下这款宝贝以后用来整整人也好 先让我们来看看
这款木马介绍 目前为止最牛XQQ木马可以获取用户Q币数量,游戏币数量,QQ积分,QQ游戏点等信息完美
破解QQ2006键盘保护密码框不会出现红叉叉 所有版本QQ通杀包括最新QQ2006 Beta2采用特殊线程插入技
术无启动项无进程 突破各类防火墙(如:天网,卡巴,瑞星,金山网镖,江民……)采用同类QQ木马当中绝对领先
技术准确获取QQ密码绝无偏差用户登陆成功后再发信从而杜绝重复发信,密码发信情况不在收取重复信件提高
软件Software工作效率立即删除自身让木马不留痕迹具有定时关闭QQ和防重复运行功能!下面是截图: 看出
来这款密码盗取软件Software针对目前国内外主流桌面防火墙软件Software作出了针对性改进且具有很高隐蔽
性旦运行了木马EXE它就几乎彻底隐藏了自己就象广告中说样无启动项无进程常规检测工具要检测它具有定难
度所以这款木马生成器生成木马对于普通用户来说具有相当大杀伤力 木马分析 接下来我们来看看该木马工
作流程: 木马在获得启动运行后就会将复制个备份到C:\Program Files\Internet Explorer\PLUGINS并重命名
为qn911.dll(其实这还是个EXE文件)并将其文件属性设为隐藏和系统然后在C:\Program Files\Internet
Explorer\PLUGINS释放出qn911.sys(其实这是个DLL文件) 这时候木马会在系统注册表内注册个CLASSID
HKCR\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB} 并将该CLSID和C:\Program Files\Internet
Explorer\PLUGINS\qn911.sys联系在起然后将该CLSID添加添加到注册表ShellExecuteHooks下
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ {F3D0D422-
CE6D-47B3-9CE6-C54DD63F1ADB}="" (老鸟这时候就会说了原来它无启动项和特殊线程插入技术就是这么
实现啊…) Qn911.sys内含有钩子WH_GETMESSAGE 在木马下完钩子后完成盗取QQ密码准备工作后就创建个
名为MicroSoft.bat批处理文件用于删除木马EXE文件和批处理自身.这样它在系统中就是"无进程"了 这里有
个插曲木马作者会给分析人员些留言内容如下: wodexiaoshihouchaonaorenxingdeshihou
waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang
tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai 由于我小学拼音实在不如何
样而且由于时间关系所以这个内容留给感兴趣人来解读吧(没有标点符号文章实在很难读啊) 这时如果启动
QQ通过ShellExecuteHooksqn911.sys就会插入到QQ进程空间中去了 等你输入密码后qn911.sys就会将密
码发送到你指定邮箱中去 邮件内容如下: 对决 面对如此个新颖强悍隐蔽对手终截者能防御吗 毛主席说
过:实战是检验真理唯标准那我们就用事实来说话吧先将QQ加入终截者密码锁保护列表内: 启动木马进程终截
者对进程危险判断还是很精准 根据我使用经验能让进程防护危险等级框拉到底绝大多数都是木马病毒等非正常
了 实验需要我们放过该木马允许它运行 启动QQ运行并查看其进程模块可以看到进程空间内qn911.sys已经
无法注入到QQ进程中去看来终截者对ShellExecuteHook方式线程注入还是有防御手段是非常成功有效既然

下一页