-= 原创天地 =-

终截者实战免杀版QQ大盗

文章来源：Terminator Lab 　　文章类型：本站原创　　　加入时间：2006-7-17

前言

　　今天有同事告诉我,黑基论坛上有人发布了最新的免杀版的QQ盗取工具 ---浩哥6.24免杀QQ盗，好奇之下,下载下来一试,果然Kaspersky对其毫无反应,其他的杀软我暂时没有尝试. 正好手头下刚下载了终截者,其密码锁的功能最近广为传播,正好用来测试一下其防御功能木马能力， PEID检测了一下, 该木马加了FSG2.0的壳

1. 创建C:\WINDOWS\system32\SVOHOST.exe,并启动该进程
2. 写入HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SoundMam,实现svohost.exe的自启动
3. 创建C:\WINDOWS\system32\winscok.dll,并将该DLL注入到QQ进程中去,进行QQ密码的截取

4. 截取到密码后发送到远程指定邮箱

环境
Windows XP SP2
QQ2005
Kaspersky Personal Pro 5.0.388 病毒库升级到最新

实验过程
未安装终截者的情况

运行Ethereal进行网络抓包监控，启动QQ2005正常登陆，一切看起来都似乎很正常,Kaspersky也悄无声息，但打开Ethereal就明白,一切都已经晚了… 　以下是监控到的部分数据包

　　从上面可以看出在你输入密码完毕,点击登录的时候,木马就将密码给截获了下来(即使腾讯已经对密码框控件做了保护),然后第一时间发送到 qqtegong@21cn.com 这个邮箱，就这样,用户的密码在不知不觉中已经在别人的邮箱里面趴着了.

已安装终截者的情况
第一防御线----进程防御

　　　该木马启动时,终截者的进程拦截即报告高危行为,如果在这个时候拦截的话,悲剧将永远不会发生了…

　　　就算你不相信终截者,坚持要启动该进程,不要紧,请接着看终截者的防御

　　参见木马行为1可以知道,SVOHOST.exe是由先前启动的木马进程创建的,先前的进程在创建完SVOHOST后,就会删除自身的文件,达到隐藏的目的.

　　如果你是一个有一定系统经验的人就应该知道这个文件是仿造SVCHOST.EXE进程名来伪装自己的,所以这个时候就会点击禁止来阻止该进程的运行. 这是终截者提供的第一道防御---进程防御

　　这个时候大概有人会说”我对电脑什么都不懂,这些进程名我看不出危险,那我怎么办呢?” 放心吧,如果终截这就这么两下的话,那就太对不起终截者这个名称的意义了.

第二防御线----自启动防御
　　我们这里假设未发现异常,还是点击允许,启动了SVOHOST这个进程接下来该进程会每隔几秒写入注册表HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SoundMam这个值[参见木马行为2] 终截者是能够监控注册表的自启动区域
一有异常,立刻就会报警所以当用户发现报警时,稍微用心一点就能发现异常SVOHOST.exe这个进程的行为非常可疑再者,一个进程频繁在注册表里面相同的位置写相同的值,这种行为可能是正常的吗?