支付宝木马爆菊过程总结帖【附源码】

现在的位置: 首页 > 综合 > 正文

RSS

支付宝木马爆菊过程总结帖【附源码】

2013年07月28日 ⁄ 综合 ⁄ 共 2302字 ⁄ 字号小中大 ⁄ 评论关闭

文章目录

支付宝木马爆菊过程总结帖【附源码】

支付宝木马爆菊过程总结帖【附源码】

喜欢(20)

z7y (我从前有个很好的小伙伴，他叫VIP，后来他死了。)

|
2013-05-10 02:03

总结帖：

今晚遇到个木马牛..给我发了个支付宝木马,是想转我钱么。。。。
打开360..竟然说安全,在虚拟机打开,然后 netstat -an 竟然无...
用C32看了下...看不懂~

http://rel.netsoft2005.com/pg.php
http://jump.netsoft2005.com/quit.php
http://rel.netsoft2005.com/promote.php
http://jump.netsoft2005.com/rm.php
http://www.netsoft2012.com/cfg/getconf.php

发现一大堆url ，莫非是后台？
打开url 竟然是p2p ,然后用虚拟机给自己的另外一个支付宝转账一元,发现钱跑到别人那去了…….
经过Liyang基友的指点才得知,我分析错文件了,此木马是白加黑免杀手法。

liyang (铁道游击队队长) | 2013-05-06 15:35

为什么是p2p的网站，是因为你分析的文件错了~~

你看到那一堆文件其实大部分是安全的，只有stat.dll是木马，这是白加黑木马~

以下是我很久之前写的一小篇文章中的

　　我们今天的重点讨论白加黑的技术。旧版本的金山网盾的浏览器首页锁定功能锁定的主页是通过读取一个配置文件得到的，而金锁木马把里面的内容改为某个特定的网址，而金山网盾在加载配置文件的时候并没有校验文件内容，于是就把被木马修改的网址锁定为主页。

　　这就是一个木马病毒利用可信程序进行破坏的典型案例。这类病毒中可信程序一般被称为Loader,该类木马经常使用的Loader有老版本的好压和暴风影音等，病毒作者之所以选择它们作为病毒Loader,是因为它们在运行时会加载其对应的动态链接库,这个和DLL劫持又有相似之处。它们利用了Windows系统中加载DLL的一个特点。一个exe程序要加载DLL文件是在磁盘上搜索DLL文件，而不是按照指定路径加载。如果DLL文件被替换的话，可能会造成一定的问题，如犇牛病毒，软件目录下会出现大量的usp10.dll文件。

经过大牛的指点,总算明白点道理了。。。。。。
接下来轮到zazaz基友按耐不住基情了

zazaz | 2013-05-06 16:58

里面的文件除了stat.dll以外都是正常文件，ppover.exe运行时会加载stat.dll，正常的stat.dll被替换成了病毒文件，stat.dll用Themida壳加密了，程序运行后会自动把所有文件复制到C:\Program Files\Windows Media Player\目录，ppover.exe复制到此目录名字wmplay.exe，创建启动项C:\Program Files\Windows Media Player\wmplay.exe。

stat.dll会创建mmc.exe为暂停状态，并且把病毒exe写入mmc的内存，然后修改mmc的执行入口，然后恢复执行mmc。我把这个病毒exe提取出来了，直接分析这个就行了，zip密码：test

http://pan.baidu.com/share/link?shareid=558947&uk=2516935295

于是把马儿下载到虚拟机，打开,然后打开 www.alipay.com 转款给V基 1块钱

然后抓虚拟机的包,得到几个信息：
1. http://nnn.xxccdf.com/ 是他收信地址.
2. 我给别人转账的时候,他会弹出个