報告編號: B6-2018-060801
更新日期: 2018-06-08
0x00 前言
近日360CERT監測到一種可以免殺市面上幾乎所有主流殺軟的QQKEY盜號木馬變種,並且木馬作者公然在國內搭建網站對外銷售此木馬,360CERT在收到木馬變種後第一時間對該樣本進行分析。
木馬作者官網圖片
0x01 木馬分析
根據我們捕獲到的樣本發現,該盜號木馬相比以前發現的盜號木馬功能相對要全面一些:
木馬初始化階段
在啟動程序的時候根據木馬傳播者的後臺賬號生成QQKEY收信地址,並且使用taskkill命令結束360安全衛士進程。
獲取當前電腦已登錄的QQ
該木馬獲取QQKEY的方式與此前發現的沒有改變,依舊還是通過QQ快速登錄的邏輯漏洞獲取。
臨時解決辦法:木馬將獲取QQKEY的網頁端口固定在4300,可以嘗試多登錄幾個QQ,然後關閉第一次登陸的QQ,使後續登陸的QQ快速登錄服務改到4301-4310端口即可。
0x02 溯源分析
域名WHIOS信息
事後,我們根據該木馬的C&C地址查詢了一下域名WHIOS信息,得知:
聯繫人:劉千儀 聯繫郵箱:[email protected] 手機號:17602394355 QQ號:649484636 不過後續我們查詢了一下域名信息修改記錄得知:該域名應該是已備案域名二手過戶而來,姓名與備案信息可能不真實。
格子網店信息
原來貼吧也是他推廣銷售木馬的一種渠道。
木馬官網聯繫信息
我們通過官網發現了他用於銷售推廣木馬的專用QQ小號及QQ群。
QQ群公告
群成員信息
我們創建了一個QQ小號加群后發現: 官方網盤:http://agulang.cccpan.com/ 密碼:gulang 文件下載:gulang002 售後處理郵箱:[email protected]
網盤信息
我們發現他的網盤內包含有兩個生成器:ASP版、MYSQL版,同時後面跟著廣告信誓旦旦的說能過360,且網盤在線人數還不低。
360安全衛士查殺
但是我去驗證了一下所謂能過360的說法,結果讓我非常失望,被360安全大腦的QVM引擎給查殺了。
軟件內FTP連接信息
我們下載了他的ASP版看了一下,脫殼後發現他的字符串中竟然帶有網站的FTP連接信息: FTP: sx.xcjze.cn User: w22888 PASS: 5B5299A43Af56e
FTP中QQKEY目錄
部分QQKEY信息
我們驗證了該連接信息的準確性,並且發現該QQKEY目錄內包含有以木馬生成器登陸賬戶名命名。
點開其中一個目錄的QQKEY.TXT後發現裡面包含有各種QQKEY信息。
0x03 後話
根據上面分析我們得知目前在國內滋生的盜號產業十分猖獗,並且他們的手段僅僅只是HTTP GET而已,一般情況下AV都會將這種行為給忽略,所以此類木馬做免殺非常容易。建議廣大用戶立即下載安裝能準確查殺此類盜號木馬的“360安全衛士”進行安全防護,不要輕信任何軟件提示所謂的關閉殺毒後在運行,安全第一!
0x04 360網絡安全響應中心(360CERT)
360CERT成立於2017年5月,是一個年輕且有強大安全能力的團隊。團隊專注於互聯網上游應急響應、網絡攻防研究、惡意軟件分析,依託360海量安全數據和團隊頂尖安全專家支撐,在安全漏洞事件分析和情報分析,威脅預警方面有深厚積累。
0x05 時間線
2018-06-08 360CERT發佈分析報告
0x06 參考鏈接
- Steam新型盜號木馬及產業鏈分析報告
點這裡就能讓360安全大腦成為你的私人保鏢哦>>>http://urlqh.cn/m5rYE
閱讀更多 360安全衛士 的文章
