08月01, 2014

偷鸡不成蚀把米——QQ盗号木马作者自己泄露账号密码信息

最近,在监控qq粘虫类木马时候发现了一个比较有趣的qq粘虫。不同于以往的qq粘虫,该木马会把窃取到的隐私信息以特殊的方式传送出去。

木马通过qq群等常见的方式传播后,用户中招,下载到本地执行,木马拿到用户信息,比如qq账号、密码、本地ip等相关信息后,将数据发送出去,通过wireshark抓包后观察数据,发现了与之前qq粘虫数据包很不相同的东西。通过对其中明文信息可以猜测出这是mysql相关的数据包。

123

第一个数据包连接建立后,服务器发给本地的 Server Greeting Pocket,前3个字节是包的长度,即4a(十进制对应长度74),接着是1个字节的包序列号,第一个也就是0,接下来就是以00结尾的当前线程内部的MuSQL id,5.5.27,其他具体信息可以参考MySQL的数据协议包

第二个数据包是木马登陆的验证包Login Packet

根据登陆数据包协议,从第37个字节开始就是username,也就是字符串”qq”,第40个字节是密码sha1加密后的长度14(对应10进制20),然后从第41到第61个自己是密码加密后的sha1值”d37e334c1401eda97033515ca72b6485404ffff6″,由于是sha1算法,所以从这里面找出登陆密码难度较大,那就转向从木马本身寻找登陆密码。

抓包2

第四个数据包是客户端执行操作的数据包,明文中可以直观看出。

木马本身加了个upx的壳,脱壳后用ida分析了下,很容易找出登陆密码。

ida分析图片

密码”c**14″用sha1哈希之后得到的数据跟数据包中的并非一致,密码在传输过程中应该还有校验。

但是登陆密码是c**14应该没错的。

根据拿到的登陆名和密码,远程登陆木马作者的数据库中,木马作者数据库中数据

test表中应该是木马作者自己测试用的,

test

猜测木马作者这么做也是为了图省事,从中招用户机器上窃取了信息,直接就插入数据库了,其不方便?

但图方便的同时也是给自己挖了个坑,自己的账号密码也泄露出去了。

在离开木马服务器后,分析人员清除了相关数据,更改数据库密码,防止有后续用户继续中招。

本文链接:http://blogs.360.cn/post/mysql_qqpass_trojan.html

-- EOF --

Comments