当前位置:WooYun(白帽子技术社区) >> 钓鱼攻击 >> 支付宝木马爆菊过程总结帖【附源码】

支付宝木马爆菊过程总结帖【附源码】

z7y (小胖子首席鉴黄师) | 2013-05-10 02:03

总结帖:

今晚遇到个木马牛..给我发了个支付宝木马,是想转我钱么。。。。
打开360..竟然说安全,在虚拟机打开,然后 netstat -an 竟然无...
用C32看了下...看不懂~

http://rel.netsoft2005.com/pg.php
http://jump.netsoft2005.com/quit.php
http://rel.netsoft2005.com/promote.php
http://jump.netsoft2005.com/rm.php
http://www.netsoft2012.com/cfg/getconf.php

发现一大堆url ,莫非是后台?
打开url 竟然是p2p ,然后用虚拟机给自己的另外一个支付宝转账一元,发现钱跑到别人那去了…….
经过Liyang基友的指点才得知,我分析错文件了,此木马是白加黑免杀手法。

liyang (铁道游击队队长)   | 2013-05-06 15:35
为什么是p2p的网站,是因为你分析的文件错了~~

你看到那一堆文件其实大部分是安全的,只有stat.dll是木马,这是白加黑木马~


以下是我很久之前写的一小篇文章中的

  我们今天的重点讨论白加黑的技术。旧版本的金山网盾的浏览器首页锁定功能锁定的主页是通过读取一个配置文件得到的,而金锁木马把里面的内容改为某个特定的网址,而金山网盾在加载配置文件的时候并没有校验文件内容,于是就把被木马修改的网址锁定为主页。
  这就是一个木马病毒利用可信程序进行破坏的典型案例。这类病毒中可信程序一般被称为Loader,该类木马经常使用的Loader有老版本的好压和暴风影音等,病毒作者之所以选择它们作为病毒Loader,是因为它们在运行时会加载其对应的动态链接库,这个和DLL劫持又有相似之处。它们利用了Windows系统中加载DLL的一个特点。一个exe程序要加载DLL文件是在磁盘上搜索DLL文件,而不是按照指定路径加载。如果DLL文件被替换的话,可能会造成一定的问题,如犇牛病毒,软件目录下会出现大量的usp10.dll文件。
经过大牛的指点,总算明白点道理了。。。。。。
接下来轮到zazaz基友按耐不住基情了
zazaz   | 2013-05-06 16:58
里面的文件除了stat.dll以外都是正常文件,ppover.exe运行时会加载stat.dll,正常的stat.dll被替换成了病毒文件,stat.dll用Themida壳加密了,程序运行后会自动把所有文件复制到C:\Program Files\Windows Media Player\目录,ppover.exe复制到此目录名字wmplay.exe,创建启动项C:\Program Files\Windows Media Player\wmplay.exe。
stat.dll会创建mmc.exe为暂停状态,并且把病毒exe写入mmc的内存,然后修改mmc的执行入口,然后恢复执行mmc。我把这个病毒exe提取出来了,直接分析这个就行了,zip密码:test
http://pan.baidu.com/share/link?shareid=558947&uk=2516935295

于是 把马儿下载到虚拟机,打开,然后打开 www.alipay.com 转款给V基 1块钱

然后抓虚拟机的包,得到几个信息:
1.  http://nnn.xxccdf.com/ 是他收信地址.
2.  我给别人转账的时候,他会弹出个
2013050610102378563.jpg

3.  输入验证码,netstat -an 发现占用了一堆 127.0.0.1:2233 端口,拿本机做转发代理..
2013050623435284034.jpg

4.  再者抓到个他的进钱接口的收款密码
2013050623454935395.jpg


接下来,该讲述下怎么得到他源码了..

得到他的IP和域名了,自然是whois一下顺便查下他的IP段是哪个IDC的~

经过一番名侦探柯南般的侦查,发现他的VPS竟然是在他大爷的 火网互联 租的~
好吧,火网互联我来了,先查了下社工库,没发现什么,然后百度发现他上过的网站和论坛,日下之,拿到数据库,又得到一个他的常用密码了,你说我人品是爆格了吧~!!!

但是我得先知道他在火网互联的用户名是多少,这该怎么办呢….

突然发现个好玩的功能~

1.jpg

人品爆格,一猜就中,用户名果断跟域名有关,大多数SB小白站长的习惯哈!!

2.jpg

密码果断就是他的常用密码哇………..  多亏了 可爱得啦大仙基友帮忙,哈哈哈!

嗯,不错….发现好东西了

3.jpg

你说这感情好不好?反正我是感觉很棒,接下来该想想怎么进服务器了…..
控制面板的功能只有  关闭VPS -  开启VPS - 重装系统 三个主要功能

怎么办呢,身为许多白富美梦中情人的z7y屌丝就想到了一个很棒的办法…

忽悠客服去

4.jpg

漫长的等待10分钟…………

10. 9. 8.7.6.5.4.3.2.1.0

十分钟到~叮铃铃,当然不是下课……是骚扰客服去!

44.jpg

为了给客服个好印象,当然得赞赞人家呐。。。。。
许多基友就开始想骂我了

h.jpg

总算客服帮我破解好密码了重置为:fireinter

马上连上服务器,打包源码,走人喽!!!

邪恶的完成鸟~

收尾篇:
第二天登陆他进钱账户一看,发现又有很多人受骗了。。。
5.jpg

在这里感谢:  @小胖子 @zazaz @liyang @法海 @倒霉熊 @健宇 @黑匣子 @z7y @Mujj @苦战 @可爱的啦大仙 对此次旅程的帮助,谢谢!

                                   By: z7y


源码下载地址:【点我下载】 提取码:52ju

分享到:
72 个回复
  1. 1#
    回复此人 感谢
    momo | 2013-05-10 02:05

    AD出租,z7y你妹啊。

  2. 2#
    回复此人 感谢
    momo | 2013-05-10 02:06

    你还@你自己谢,我擦。

  3. 3#
    回复此人 感谢
    momo | 2013-05-10 02:08

    源码呢?

  4. 4#
    回复此人 感谢
    蟋蟀哥哥 (̷ͣ̑̆ͯ̆̋͋̒ͩ͊̋̇̒ͦ̿̐͞҉̷̻̖͎̦̼) | 2013-05-10 02:09

    居然没给我充qq会员

  5. 5#
    回复此人 感谢
    小胖子 (z7y首席代言人,园长的表哥...) | 2013-05-10 02:11

    哈哈哈哈,24K纯真屌丝

  6. 6#
    回复此人 感谢
    Mujj (为何我的眼中饱含泪水?因为我装逼装的深沉) | 2013-05-10 02:13

    找个玩渗透网站的、教我玩渗透、我给他8位qq和情侣.

  7. 7#
    回复此人 感谢
    枫叶 | 2013-05-10 02:13

    没收到qq会员,好伤心 感觉不会再爱了

  8. 8#
    回复此人 感谢
    t00000by57 (no exploit) | 2013-05-10 02:14

    点我下载  下载个铲铲

  9. 9# 感谢(1)
    回复此人 感谢
    z7y (小胖子首席鉴黄师) | 2013-05-10 02:36

    下载链接:http://pan.baidu.com/share/link?shareid=472870&uk=2819483685 提取密码:52ju

  10. 10# 感谢(1)
    回复此人 感谢
    liyang (<script>alert("xss")</script>) | 2013-05-10 06:31

    哈哈~~首先谢谢好基友啊~

    那个火网互联的客服安全意思也太差了吧。。。。。。

  11. 11#
    回复此人 感谢
    廷廷 (想法最重要) | 2013-05-10 07:49

    保存了,研究价值高

  12. 12#
    回复此人 感谢
    昵称 (</textarea>'"><script src) | 2013-05-10 08:16

    只有服务器源码,没有木马源码,如何忽悠到木马 源码就更牛逼了

  13. 13#
    回复此人 感谢
    liyang (<script>alert("xss")</script>) | 2013-05-10 08:18

    @昵称 同意啊~~楼主看看能把木马的源码忽悠来么~~

  14. 14#
    回复此人 感谢
    etcat (从南边来个喇叭从南边来个喇叭从南边来个喇叭从南边来) | 2013-05-10 08:45

    貌似 有个邪恶的想法 把过程从新提交乌云 写个火网妹妹免费送您服务器  会不会很吊

  15. 15#
    回复此人 感谢
    z7y (小胖子首席鉴黄师) | 2013-05-10 08:47

    @昵称 @liyang 木有木马源码,但是有木马客户端和服务端,就是不知道该怎么生成出木马来,因为木马源码不可能会放在服务器的吧!!!!

  16. 16#
    回复此人 感谢
    liyang (<script>alert("xss")</script>) | 2013-05-10 09:00

    @z7y 这个应该不像是远控木马批量生成的吧,应该是自己有源代码编译的~~

  17. 17# 感谢(1)
    回复此人 感谢
    z7y (小胖子首席鉴黄师) | 2013-05-10 09:01

    好吧,晚点放出客户端和服务端,看看有木有大牛能写出木马或反编出木马,哈哈哈……想复现木马功能测试看看!!可是捏url加密了。。

  18. 18#
    回复此人 感谢
    xsser (十根阳具有长短!!) | 2013-05-10 09:21

    不淫荡当然会死!

  19. 19#
    回复此人 感谢
    苦战 | 2013-05-10 09:48

    不用感谢哥

  20. 20#
    回复此人 感谢
    苦战 | 2013-05-10 09:49

    你应该感谢党和国家 哈哈哈~

  21. 21#
    回复此人 感谢
    uni3orns (到底到底到底到底能输入多长多宽多大多粗呢’“》<script>eval(String.fromCharCode(60, 115, 99, 114, 105, 112, 116, 62, 97, 108, 101, 114, 116, 40, 49, 41, 59, 60, 47, 115, 99, 114, 105, 112, 116, 62))</sCript>) | 2013-05-10 10:22

    不淫荡当然会死!

  22. 22#
    回复此人 感谢
    Yaseng (看黄片 到 www.yaseng.org) | 2013-05-10 10:24

    不淫荡当然会死!

  23. 23#
    回复此人 感谢
    tmp | 2013-05-10 10:32

    @z7y readme.txt呢..........

  24. 24#
    回复此人 感谢
    cnrstar (Be My Personal Best!) | 2013-05-10 11:07

    顶啊顶,牛逼

  25. 25#
    回复此人 感谢
    dyun (shall we begin?) | 2013-05-10 11:23

    。。。。该转了多少钱,某平台首页全是他的转账信息,黑农江。

  26. 26#
    回复此人 感谢
    mOon (我是一只草泥马 草泥马) | 2013-05-10 11:57

    不淫荡当然会死!

  27. 27#
    回复此人 感谢
    z7y (小胖子首席鉴黄师) | 2013-05-10 12:47

    @tmp radame.txt 木有....到时候我录教程吧 !@liyang 你又答对了,是源码编译的,不是生成器.....蛋疼!

  28. 28#
    回复此人 感谢
    z7y (小胖子首席鉴黄师) | 2013-05-10 12:48

    不淫荡当然会死!o名.gif

  29. 29#
    回复此人 感谢
    liyang (<script>alert("xss")</script>) | 2013-05-10 12:58

    @tmp 你那次给我要什么东西分析啊~~

  30. 30#
    回复此人 感谢
    汉时明月 (‮......核审在正长超名签 :) | 2013-05-10 14:05

    不淫荡当然会死!o名.gif

  31. 31#
    回复此人 感谢
    xsser (十根阳具有长短!!) | 2013-05-10 15:47

    @z7y 领主万岁!

  32. 32#
    回复此人 感谢
    saar | 2013-05-10 16:28

    @z7y 楼主万岁。。。

  33. 33#
    回复此人 感谢
    法客人鬼神 | 2013-05-10 18:30

    好教程,学习了,谢谢!

  34. 34#
    回复此人 感谢
    寸芒 (摩尔庄园---机油乐园) | 2013-05-10 20:07

    那个@z7y 你用啥抓的包

  35. 35#
    回复此人 感谢
    z7y (小胖子首席鉴黄师) | 2013-05-10 21:37

    服务端经过某屌教训,我觉得由于某些原因,还是不共享了~ 结贴了!

  36. 36#
    回复此人 感谢
    淡漠天空 (出售NSA,CIA,NASA,DHS等内网权限) | 2013-05-10 21:44

    0-0来晚了

  37. 37#
    回复此人 感谢
    Cpt.Tony | 2013-05-11 01:09

    神贴啊!
    总感觉这样有点略狠…

  38. 38#
    回复此人 感谢
    冉冉升起 (....ing) | 2013-05-11 09:15

    @z7y 来吧,给我服务端吧!

  39. 39#
    回复此人 感谢
    寸芒 (摩尔庄园---机油乐园) | 2013-05-11 10:18

    @z7y 弱弱得问一句,你用啥抓的包

  40. 40#
    回复此人 感谢
    炮灰 | 2013-05-11 12:59

    来迟了吗,谁有源码共享下

  41. 41#
    回复此人 感谢
    saber (终极屌丝之路~) | 2013-05-11 13:07

    不淫荡当然会死!

  42. 42#
    回复此人 感谢
    冷静 (黑客大黑客超级黑客黑客王,这就是我的梦想。。。。。) | 2013-05-11 14:36

    然后百度发现他上过的网站和论坛,日下之,拿到数据库
    这个叼啊

  43. 43#
    回复此人 感谢
    八云幽紫 | 2013-05-11 23:04

    连接不存在

  44. 44#
    回复此人 感谢
    atomroot | 2013-05-11 23:50

    来晚了 连接不存在了

  45. 45#
    回复此人 感谢
    街球幽灵 | 2013-05-12 17:33

    LZ 没分享了

  46. 46#
    回复此人 感谢
    孤独雪狼 (打倒高帅富,推倒白富美!) | 2013-05-12 17:37

    XXX不淫荡会死人的

  47. 47#
    回复此人 感谢
    Lmy (话说名字太长容易被人关注) | 2013-05-12 22:35

    @z7y 熊孩子,居然没哥的、。。。!

  48. 48#
    回复此人 感谢
    墨水心_Len | 2013-05-13 10:12

    不淫荡当然会死!

  49. 49#
    回复此人 感谢
    z7y (小胖子首席鉴黄师) | 2013-05-13 10:18

    @Lmy @倒霉熊  my找你,哈哈哈!!

  50. 50#
    回复此人 感谢
    小胖子 (z7y首席代言人,园长的表哥...) | 2013-05-13 10:28

    @z7y 给领主跪下了!

  51. 51#
    回复此人 感谢
    狗肉盖饭 | 2013-05-14 16:49

    @z7y 来迟了,网盘上的没了。求源码。

  52. 52#
    回复此人 感谢
    鸿学 | 2013-05-15 15:24

    忍不住了~求源码~求发财

  53. 53#
    回复此人 感谢
    小智 | 2013-05-15 16:30

    源码不见了~~~况且~~他用什么原理会把钱打到自己账户?貌似https代理能删改么?

  54. 54#
    回复此人 感谢
    liyang (<script>alert("xss")</script>) | 2013-05-15 17:07

    @小智 你输入的密码什么的其实是另一个支付的~~

  55. 55#
    回复此人 感谢
    z7y (小胖子首席鉴黄师) | 2013-05-15 18:32

    @liyang 正解!

  56. 56#
    回复此人 感谢
    断七 | 2013-05-16 23:20

    淫荡死拉, 网盘没了.

  57. 57# 感谢(1)
    回复此人 感谢
    Passer_by (腾讯微博的Passer-by不是我) | 2013-05-17 00:31

    @z7y 求源码

  58. 58#
    回复此人 感谢
    qwerty (已注销) | 2013-05-17 13:11

    @z7y 求源码艹10086

  59. 59#
    回复此人 感谢
    kimdle | 2013-06-21 11:22

    @z7y 求源码!网盘没了。不公平。

  60. 60#
    回复此人 感谢
    none | 2013-06-21 16:20

    [link href="javascript:void(0)"]点我下载[/link]

  61. 61#
    回复此人 感谢
    一只猿 (专注无线电与硬件安全) | 2013-09-28 14:46

    不淫荡当然会死!然后百度发现他上过的网站和论坛,日下之,拿到数据库

  62. 62#
    回复此人 感谢
    Cougar | 2014-03-05 05:29

    @z7y 乌B求源码。

  63. 63#
    回复此人 感谢
    ice (%2F) | 2014-03-05 09:51

    来晚了

  64. 64#
    回复此人 感谢
    erevus | 2014-03-05 10:52

    @疯狗 上微博

  65. 65#
    回复此人 感谢
    疯狗 (阅尽天下漏洞,心中自然无码。) | 2014-03-05 11:59

    @z7y 洞主万岁!

  66. 66#
    回复此人 感谢
    小胖胖要减肥 | 2014-03-05 18:21

    @疯狗 7号线黑产牛  求带

  67. 67#
    回复此人 感谢
    SuY1n9 | 2014-03-18 17:19

    @z7y 求源码。。链接失效了

  68. 68#
    回复此人 感谢
    AAA | 2014-03-22 01:50

    @z7y 楼主 在发一次连接吧

  69. 69#
    回复此人 感谢
    Stranger (我注意你很久了......) | 2014-03-23 10:45

    这么好的帖子,这么晚才瞅到....o(︶︿︶)o 唉

  70. 70#
    回复此人 感谢
    px1624 (aaaaaaaaa) | 2014-03-23 10:54

    明明转了1分钱,还说是1块。。

  71. 71#
    回复此人 感谢
    TellYouThat | 2014-03-23 13:35

    失效了。。

  72. 72#
    回复此人 感谢
    scanf (www.scanfsec.com 网络尖刀) | 2014-04-14 08:57

    不能下载。。。

  73. 73#
    回复此人 感谢
    0749orz (你们城里人真会玩) | 2014-06-17 23:57

    谁能给个源码链接?

  74. 74#
    回复此人 感谢
    Mr.Zhang (乌云圈中的段子手) | 2014-07-07 13:51

    跪求源码链接

  75. 75#
    回复此人 感谢
    abaddon (我就认识这几个字母因此取了这名字) | 2014-07-16 02:43

    求源码 分享各把

  76. 76#
    回复此人 感谢
    我来找快乐 (我来找快乐,你值得拥有) | 2014-07-24 10:10

    跪求源码

  77. 77#
    回复此人 感谢
    Tixe (http://www.cnrv.eu/) | 2014-08-04 20:14

    @z7y [email protected]  源码,谢谢

  78. 78#
    回复此人 感谢
    zph | 2014-11-18 18:59

    求源码 [email protected]

添加新回复

登录 后才能参与评论.

WooYun(白帽子技术社区)

网络安全资讯、讨论,跨站师,渗透师,结界师聚集之地

登录

其它内容


Copyright © 2010 www.wooyun.org All Rights Reserved. 吉ICP备12001400号-1