0×01 起因
隨着吃雞熱潮的來臨,各種各樣的吃雞輔助和賬號交易也在互聯網的灰色地帶迅速繁殖滋生。其中有真有假,也不乏心懷鬼胎的“放馬人”。吃過晚飯后在一個論壇看到了這樣一個帖子,帖子中說使用此“輔助”后,QQ上的steam賬號全部被盜走,殺毒也沒報。
這么厲害的嗎,你已經成功引起了我的注意。{:7_192:}
決定下載下來折騰一下,看看能不能搞一波事。
0×02 分析
顯然任何一個智商在線的黑客都知道這種軟件下載后要放到虛擬機中試一試。下載的是一個壓縮包,內容如下(文末會附上,便於大家測試)
解壓后再虛擬機中運行主程序,發現是加了網絡驗證的殼子,用於過殺軟。
經過我測試,此打包文件在多個殺毒引擎中竟然均顯示無威脅。卧槽?
截止按照提示登陸,重頭戲來了。
登陸后,假的程序會在
C:\Documents and Settings\Administrator\Application Data
釋放如下的三個文件,並運行“獲取租號器密碼軟件.exe”
這是用秒天秒地秒空氣的易語言寫的非常簡單的一個程序,點擊右下角的按鈕就會彈出提示
提示你登陸QQ才能繼續…騷年,意圖不要明顯。可以得出,這個程序只是誘使你登陸QQ再運行真正的木馬
“郵箱馬”【我沒改名字…這是作者自己命名的…對…就這么直白】
載入OD,發現這位大黑闊並沒有加殼,估計壓根不會
這里直接搜索程序中的“ASCII“
關鍵信息一目了然,非常“娛樂”的馬子…
郵箱后綴為 @qizai.club ,發信服務器是騰訊的。推斷出為騰訊的企業郵箱/域名郵箱。
對源碼分析可知,該郵箱馬的主要工作原理為
本地通過QQ空間網頁版-獲取cookies和網名-上傳到雲端進行key轉換-登陸本地設置的郵箱發送給作者
0×03 溯源
到這里本地木馬的粗略分析就已經結束了,我們要找找這個娛樂圈的“放馬人”了。
通過源碼中的用於轉換key網絡空間url
http://a15665661110.free.wtbid204.top/qqkey.php?qq=
可知,前面的 a15665661110 為賬號。在搜索引擎中進行檢索,可以找到多篇“放馬人”關於木馬制作的交易文章。
通過帖子中的聯系方式,我們找到了放馬人的QQ等個人信息,到文末一並附上。
我們通過“郵箱馬”中逆向獲得到的信息,進行登陸郵箱。通過刪除記錄,我們發現作者是從3月5日晚 10:25進行的測試。並從此開始了犯錯歷程。期間據不完全統計中招人群遍布全國各地,人數多達上千(二貨遍天下。。尤其說明提升國民安全意識是多么緊迫的一件事,建議加入小學生學習套餐)。
不在此一一列舉。
收信內容如下:
0×04 曝光
從作者留在帖子中的聯系方式,我們檢索到了他的QQ賬號。
QQ昵稱為“七仔”與木馬中的后綴郵箱相同。
放馬人個人信息如下
姓名:李沛鑫 QQ:1273484026 網名:七仔、a15665661110、慣性丶失憶灬 通過QQ郵箱修改密碼IP為:222.94.220.94 / 180.102.171.147 / 180.102.150.52【可能是代理IP】 通過IP定位大概在江蘇南京
木馬樣本 >>>>>點我回原文下載 (解壓密碼:JHAjasfasdqw!)