CSDN博客

img mikespook

追踪放“马”贼——从木马中分析放马者手记

发表于2004/6/25 14:03:00  917人阅读

两年前的文章,拿过来充充门面。

——————————————————————

追踪放“马”贼——从木马中分析放马者手记

( 作者:mikespook | 发布日期:2002-12-25 | 浏览次数:545 )

关键字:base64,QQ,木马
前言:
    本文章只是为了给广大和我一样的菜鸟一个指引。这里我要特别感谢小金(LK007)对我的帮助。

    早上爬起来收到女朋友来的短信,说QQ被人盗掉了。我一听,这还了得?太岁头上动土,居然偷到我懒猫这来了?电话里详细问了一下情况,我估计恐怕是木马了。仔细一想,记得她说过前两天收过一个“我的写真flash”的邮件,里面带附件的。恩,看来想抓这个放“马”贼只有从这个邮件入手了。
    把那只小“马”抓了回来,用编辑器打开。搜索了一下可执行文件头,一个可执行文件里有两个可执行文件头。忽忽,是被捆绑机捆绑过的东东。再往下看看。恩?有类似这样的一些记录:

//注意,这些内容我已经修改了,不是原文,你要是按下面的方式解码恐怕弄出来的又是一堆乱码 ^@^

mima_wenjian:zt4=
fuwuqi:c810aC4XBjuPY14V
jieshou_youxiang:uMPyQPY14Vju=
yonghu_ming:uMPy
yonghu_mima:==My
smtp_biaozhi:ysc=
fasong_zhuti:WFhYWFg=
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

  一眼就看出来了,这是木马配置记录。恩,看来只有从这里入手了。
  显然信息经过加密了。怎么办?这到底是什么方式呢?无从下手了…………后来问起来,小金说可能是base64编码,看起来很像。后来我在木马文件的数据段中看到“base64”的字样,难道真是base64编码么?那作者也用的太简单了。恩,可是没别的办法,那只好死“马”当作活“马”医了。我查了查base64编码的资料:“当位数不够时使用‘=’进行补足。”恩,看来十有八九是base64编码了。试试看,将所有的编码都进行了解码。哈哈,出来了,用户名、服务器、邮件主题、接收邮箱……一览无余。唯一没有出来的就是用户密码。看来用户密码的编码方式没那么简单。
  这回又卡到了这。恩,这到底是个什么木马呢?再打开木马文件,仔细观察数据段,发现数据段中有“psss6.5”、“winplo.exe”、“msread.dt”这样的字样,恐怕这应该是捆绑前的木马的一些数据。去黑白看看,有没有收获吧。
  到黑白一看,下栽排名第一的QQ工具就是一个什么“QQpass598”的叫“QQ杀手”的软件。“QQ杀手”?去作者主页看看。哈哈,不看不知道,原来这个pass6.5是作者10月份新出来的,黑白的那个是老版本。抓回来这个“QQ杀手”瞧瞧,自己配置了几个木马文件,和那个捆绑过的文件比较了一下。的确是同一个木马!!!好了,木马知道是什么了,可是到底密码是怎么加密的呢?无奈,试试看吧,反正死“马”也医活过一次了。
  我把用户密码分别配置成“1”、“2”……结果在配置文件中分别显示的编码过的密码为“==QM”、“==gM”……恩?这怎么还和base64那么像?只不过“=”跑到了前面而不是补到后面。我立刻来了精神,莫非………………一不做,二不休。倒过来解码试试。原来“MQ==”、“Mg==”对应的解码就是“1”、“2”。哈哈,写得这么经典的软件,可是加密方式也太简陋了点吧?好了,吹着口哨,哼着小调将那个放“马”贼的邮箱密码也解码了出来。
  到他邮箱里看看?不得了,有不少QQ的密码。看来他干这个已经是“老手”了。找到女朋友的QQ,居然两个QQ的密码都被他拿到了。另一个8位号的,可能是他嫌长,没要。过分啊!!!删了那几封信,然后把这两天他没看的密码邮件也都删掉,让别人也少受点损失嘛。恩,他居然还把那封木马邮件存在邮箱里?嘿嘿,我把附件替换掉好了。你就傻等着收密码吧~~~哈哈哈~~
  我没有改他的密码,我还准备对他进行一段时间的监视,或许啥时候想出个更狠的着来对付他。嘿嘿~~懒猫心理早有主意了。

  好了,基本解码过程就是这样。总结一下,mima_wenjian:zt4=、fuwuqi:c810aC4XBjuPY14V、jieshou_youxiang:uMPyQPY14Vju=、、yonghu_ming:uMPy、smtp_biaozhi:ysc=、fasong_zhuti:WFhYWFg= 这些信息就是base64直接编码,只要直接解码就可以得到原来的内容。而 yonghu_mima:==My 这个实际上你把“==My”倒过来“yM==”再用base64解码,得到的就是密码了。
  
  这里懒猫提醒大家,以后收到陌生人的邮件如果带附件的话一定要小心。(实际上,如果是高手想害你,根本不用附件,nimuda病毒那种形式的邮件就够让人头疼了。)还有提醒那些放“马”贼,要想人不知除非己末为。小心去害别人,反而害了自己。
  现在这个家伙我一直在主意他,并在收集关于他的更多的资料。呵呵~~如果大家也有收到“我的写真flash”这样的邮件也可以按上面的方法试试,把“马”贼玩弄于股掌之间。
    
  由于我是菜鸟,或许有什么不对的地方。也可能一些细节我没有考虑到。如果你知道的话希望不惜指教。小弟感激不尽!!
0 0

相关博文

我的热门文章

img
取 消
img