QQ安全攻防之道密碼鎖對決QQ大盜

今天收到網友郵件，強烈推薦我一款最新的QQ密碼盜取木馬生成器——全能QQ大盜。 我就納悶呢，這年頭怎麼有這麼多人對這玩意這麼感興趣呢……不管怎麼說，盛情難卻，就收下這款寶貝，以後用來整整人也好。

先讓我們來看看這款木馬的介紹。

目前為止，最牛X的QQ木馬。可以獲取用戶Q幣數量、遊戲幣數量、QQ積分、QQ遊戲點等信息。完美破解QQ2006鍵盤保護，密碼框不會出現紅叉叉， 所有版本QQ通殺，包括最新的QQ2006 Beta2。採用特殊的線程插入技術，無啟動項，無進程， 突破各類防火牆（如：天網、卡巴、瑞星、金山網鏢、江民……）。採用同類QQ木馬當中，絕對領先的技術，準確獲取QQ密碼，絕無偏差。用戶登陸成功後再發信，從而杜絕重複發信、密碼錯誤發信情況，不在收取重複信件，提高軟件工作效率立即刪除自身，讓木馬不留痕跡。具有定時關閉QQ和防重複運行的功能！下面是截圖：

看的出來，這款密碼盜取軟件針對目前國內外的主流桌面防火牆軟件作出了針對性的改進，且具有很高的隱蔽性，一旦運行了木馬的EXE，它就幾乎徹底隱藏了自己，就像廣告中說的一樣，無啟動項，無進程。常規的檢測工具要檢測它具有一定的難度，所以這款木馬生成器生成的木馬對於普通用戶來說具有相當大的殺傷力。

木馬分析

接下來我們來看看該木馬的工作流程：

木馬在獲得啟動運行後，就會將複製一個備份到C:\Program Files\Internet Explorer\PLUGINS，並重命名為qn911.dll(其實這還是一個EXE文件)並將其文件屬性設為隱藏和系統然後在C:\Program Files\Internet Explorer\PLUGINS釋放出qn911.sys(其實這是一個DLL文件)。

這時候木馬會在系統註冊表內註冊一個CLASSID

HKCR\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}

並將該CLSID和C:\Program Files\Internet Explorer\PLUGINS\qn911.sys聯繫在一起。然後將該CLSID添加添加到註冊表的ShellExecuteHooks下

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}=""

(老鳥這時候就會說了，原來它的無啟動項和特殊的線程插入技術就是這麼實現的啊…)

Qn911.sys內含有鉤子WH_GETMESSAGE。

在木馬下完鉤子後，完成盜取QQ密碼的準備工作後就創建一個名為MicroSoft.bat的批處理文件，用於刪除木馬的EXE文件和批處理自身.這樣它在系統中就是”無進程”了。

這裡有個插曲，木馬的作者會給分析人員一些留言，內容如下:

wodexiaoshihouchaonaorenxingdeshihou

waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang

tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai

由於我的小學拼音實在不怎麼樣，而且由於時間關係，所以這個內容留給感興趣的人來解讀吧。(沒有標點符號的文章實在很難讀啊)。

這時如果啟動QQ，通過ShellExecuteHooks，qn911.sys就會插入到QQ的進程空間中去了。

等你輸入密碼後，qn911.sys就會將密碼發送到你指定的郵箱中去。

郵件內容如下：

對決

面對如此一個新穎，強悍，隱蔽的對手，終截者能防禦嗎？毛說過：實踐是檢驗真理的唯一標準，那我們就用事實來說話吧。先將QQ加入終截者的密碼鎖保護列表內：

啟動木馬進程，終截者對進程危險程序的判斷還是很精準的。

根據我的使用經驗，能讓進程防護危險等級框拉到底的絕大多數都是木馬病毒等非正常程序了。

實驗需要，我們放過該木馬，允許它運行。

啟動QQ運行，並查看其進程模塊，可以看到，進程空間內qn911.sys已經無法注入到QQ的進程中去。看來，終截者對ShellExecuteHook方式的線程注入還是有防禦手段是非常成功有效的。既然qn911.sys不能注入到QQ進程空間中，那麼截取密碼當然也就無從談起了。我們在查看指定接收密碼的郵箱，裡面自然一無所獲。

就這樣一場QQ密碼的攻防戰就在用戶毫不知情的狀況中發生和結束了。

用戶唯一的線索大概就要到關閉QQ時，查看詳細信息時才能從模塊信息列表中看到木馬曾經來過的蛛絲馬跡。

乘勝追擊

各位看官看到這，相比結果已經明瞭了，接下來就是打掃戰場的工作了。從前面的木馬分析中可以看到，木馬殘留在系統中有兩個文件

C:\Program Files\Internet Explorer\PLUGINS\qn911.sys

C:\Program Files\Internet Explorer\PLUGINS\qn911.dll

所以用戶要做的事情就是刪除這兩個文件。但qn911.sys還在其他進程中運行，此時是不能刪除的。

這時候，終截者的另一大特色功能就能派上用處了。

點擊後重啟，就運行到一個絕對純淨的環境中(不要將其等同於系統的安全模式)在這裡你就能很輕易地刪除上述兩個木馬文件了。至此，木馬清理完畢。

結束語

這次終截者遭遇的對手是利用ShellExecuteHook技術進行密碼盜取的木馬。看的出來，終截者的研發人員針對這種技術提供了有效的防禦方案，所以才能輕鬆獲勝。據我所知，這在同類軟件中能做到的並不多，可以說是寥寥無己。而且終截者的能力遠不止於此，那麼終截者的下一個對手會是誰呢?

（完）