高危病毒木马黑狐深入分析
木马样本在QQ重新登录钓鱼对话框登录钓鱼对话框QQ真实的“重新登录”对话框的巨细、形状等极其相似,用户在难以鉴别真伪。 一、样本简介
木马样本为压缩 包装图案,包含一个名称picture文件和一个exe文件exe在运行过程中,文件通过将当前运行窗口与腾讯联系在一起QQ窗户不断比较,目前的窗户是 QQ获得当前窗口QQ登录帐户,弹出假的重新登录对话框,迫使用户输入密码。然后将获得的密码发送到指定的密码IP地址,端口。
二、流程图
腾讯电脑管家狙击木马食猫鼠
三、详细分析
1.样本设置计时器,每隔一次300ms挪用当前的窗口类别QQ窗口类“TXGuiFoundation”对照。
其中,str2为”TXGuiFoundation”,str1如果是相同的,即当前的过程是QQ读取过程QQ在其中找到历程空间\qq\FixFileList.dat,字符串前面是现在QQ帐号。
挪用FindQQNum函数读取QQ获取用户的过程空间QQ帐号。下图为QQ可以看到历程空间的内容,QQ账号243216029\qq\FixFileList.dat”前面,这样获得QQ帐户可以弹出重新登录钓鱼对话框。
2.弹出重新登录对话框,等待用户输入密码。
用户必须在对话框中输入准确的登录密码,否则窗口将继续弹出。
钓鱼对话框本质上是一张图片(压缩包中picutre文件),只是在文本框中写下帐户、密码,在图中响应位置,对话框中的登录不是一个按钮,所以需要通过用户鼠标点击位置来判断是否点击登录qq登录密码。
3.用户将获得QQ向指定发送号码和密码IP地址。
发送内容:
四、总结
木马样本在QQ重新登录钓鱼对话框登录钓鱼对话框QQ真实的重新登录对话框的大小和形状非常相似。如果用户在钓鱼对话框中重新输入登录密码,难以识别真实性,则其QQ木马作者获得了帐户和密码。
管家静态扫描可以扫描样品压缩包中的每个人,并在其中运行exe文件会被封锁,报毒名为Trojan.Tenthief.QQPsw.acj”。
添加QQ朋友们需要小心。