08月22, 2014

最近流行的敲竹杠木马

前一段时间遇到很多类似情景:

网友在不知情的情况下,发现自己的计算机被锁住了,开机的时候会出现类似这样的信息,

1

2

这类恶劣的手段很让人着急,一般的对电脑不了解的用户可能束手无策,最后只能无奈的联系勒索人求取密码。

这一类的手法主要是通过net 命令来修改管理员的密码的

3

设置注册表相关的信息来提醒中招者联系敲诈勒索者

567

这种手段很快就被各家杀软拦截识别杀了,于是木马作者通过第二种方法去达到目的。

第二种方法没有出现net相关的命令,而是利用NetUserSetInfo这个api来设置密码的。

对这个函数下断点(断了两次,一个是名字,一次是密码):

89

在msdn上查到:

NET_API_STATUS NetUserSetInfo( LPCWSTR servername,//当为Null的时候表示使用本地计算机。 LPCWSTR username,//指向一个字符串指针,如0016ACE0,指向的就是字符串“Administrator”。 DWORD level,//不同的level,指明buf中存放不同的数据信息 LPBYTE buf,//存放数据。 LPDWORD parm_err );

level参数描述

level

[in]

Specifies the information level of the data. This parameter can be one of the following values.

当level中的参数为1011,Specifies the full name of the user. The buf parameter points to a USER_INFO_1011 structure.

typedef struct _USER_INFO_1011 { LPWSTR usri1011_full_name; } USER_INFO_1011, PUSER_INFO_1011, LPUSER_INFO_1011;

10

0016CE88在内存中

22

修改成功后。

33

当level中的参数为1003,Specifies a user password. The buf parameter points to a USER_INFO_1003 structure.

typedef struct _USER_INFO_1003 { LPWSTR usri1003_password; } USER_INFO_1003, PUSER_INFO_1003, LPUSER_INFO_1003;

0012FC24指向的就是这么一个结构。

13

00171820在内存中,对应的unicode:bu

14fe195a73387aa0c8bbbb9d8388cf3552

所以被锁的密码是“bu”,输入后成功进入。

16

第二种现在360安全卫士可以从根本上完美拦截了。

17

这类木马大多数都是通过qq群或者邮件传播的,木马作者潜伏进入一些游戏群,将木马名称改为带有诱惑性的名字,然后上传木马,比如CF免费刷枪无毒软件,免费刷Q币等等,很容易被网友下载运行。

本文的木马来源于一个中招的网友,在帮助他解决问题之后总结了一下木马常见手法,故有此文。

本文链接:http://blogs.360.cn/post/qiaozhugang.html

-- EOF --

Comments