一、样本简介
该木马样本是压缩 包格式,包含了一个名为picture的文件和一个exe文件。其中的exe文件在运行过程中通过将系统当前运行窗口与腾讯QQ窗口进行不断的比对,在当 前窗口为QQ窗口时,获得当前QQ登录账号,并弹出假的“重新登录”对话框,迫使用户输入密码。之后将获得的密码发送到指定的IP地址、端口。
二、流程图
三、详细分析
1. 样本通过设置计时器,每隔300ms调用函数对当前窗口类与QQ窗口类“TXGuiFoundation”比较。
其中,str2为”TXGuiFoundation”,str1为当前进程窗体类名,若相同,即当前进程为QQ进程,则读取QQ进程空间,在其中中查找”\qq\FixFileList.dat”,在该字符串前面的即为当前QQ账号。
调用FindQQNum函数读取QQ进程空间以获取用户QQ账号。下图为QQ进程空间内容,可以看到,QQ账号“2432116029”在串“\qq\FixFileList.dat”前面,这样得到QQ账号,即可弹出“重新登录”钓鱼对话框。
2. 弹出“重新登录”对话框,等待用户输入密码。
用户必须在该对话框中输入正确的登录密码,否则该窗口将连续不断地弹出。
该钓鱼对话框实质是一个图片(压缩包中的picutre文件),只是将账号、密码写在文本框中,放在图中相应位置,而对话框中“登录”并不是一个按钮,因此需要通过用户鼠标点击位置来判断是否点击了“登录”,这样即可获得用户输入的qq登录密码。
3. 将获取的用户QQ号、密码发送到指定IP地址。
发送内容:
四、总结
该木马样本在QQ进程活动时弹出“重新登录”钓鱼对话框,该对话框与腾讯QQ真实的“重新登录”对话框的大小、外形等极其相似,用户在难以辨别真伪的情况下在钓鱼对话框中重新输入登录密码,则其QQ账号及密码即被木马作者获取。
管家静态扫描可以扫描到样本压缩包内的各个体,运行其中的exe文件会进行拦截,报毒名为“Trojan.Tenthief.QQPsw.acj”。