偷鸡不成蚀把米――QQ盗号木马作者自己泄露账号密码信息
&最近，在监控qq粘虫类木马时候发现了一个比较有趣的qq粘虫。不同于以往的qq粘虫，该木马会把窃取到的隐私信息以特殊的方式传送出去。
木马通过qq群等常见的方式传播后，用户中招，到本地执行，木马拿到用户信息，比如qq账号、密码、本地ip等相关信息后，将数据发送出去，通过wireshark抓包后观察数据，发现了与之前qq粘虫数据包很不相同的东西。通过对其中明文信息可以猜测出这是mysql相关的数据包。
第一个数据包连接建立后，服务器发给本地的&Server Greeting Pocket，前3个字节是包的长度，即4a（十进制对应长度74），接着是1个字节的包序列号，第一个也就是0，接下来就是以00结尾的当前线程内部的MuSQL id，5.5.27,其他具体信息可以参考MySQL的数据协议包
第二个数据包是木马登陆的验证包Login Packet
根据登陆数据包协议，从第37个字节开始就是username，也就是字符串&qq&，第40个字节是密码sha1加密后的长度14（对应10进制20），然后从第41到第61个自己是密码加密后的sha1值&d37e334c1401edab6485404ffff6&P,由于是sha1算法，所以从这里面找出登陆密码难度较大，那就转向从木马本身寻找登陆密码。
第四个数据包是客户端执行操作的数据包，明文中可以直观看出。
木马本身加了个upx的壳，脱壳后用ida分析了下，很容易找出登陆密码。
密码&c****14&P用sha1哈希之后得到的数据跟数据包中的并非一致，密码在传输过程中应该还有校验。
但是登陆密码是c****14应该没错的。
根据拿到的登陆名和密码，远程登陆木马作者的中，
test表中应该是木马作者自己测试用的，
猜测木马作者这么做也是为了图省事，从中招用户机器上窃取了信息，直接就插入数据库了，其不方便？
但图方便的同时也是给自己挖了个坑，自己的账号密码也泄露出去了。
在离开木马服务器后，分析人员清除了相关数据，更改数据库密码，防止有后续用户继续中招。
您对本文章有什么意见或着疑问吗？请到您的关注和建议是我们前行的参考和动力&&
您的浏览器不支持嵌入式框架，或者当前配置为不显示嵌入式框架。&&qq盗号木马下载 相关文章
网络频道qq盗号木马下载相关文章
选择其他频道
我还想看其他领域的文章
当盗号的人加你为好友后，就可以利用文件传送给你传木马程序，通常他会花言巧语的和你说给你个好东东之类的，当你运行了他传给你的东西之后（也就是木马啦），木马就嵌入你的电脑，将你的游戏帐号和密码以邮件形式发送到指定邮箱里，这么你的号就被盗了。
在我们享受各种个性化qq表情的时候，黑客也通过这些表情图片悄悄地潜入我们的系统种植qq盗号木马，让我们防不胜防。
“QQ大盗变种cd”(Troj.PswQQ.cd)木马病毒，这是一个盗取QQ号码的木马,它还能通过移动储存器进行传播。
最近接到很多人报告说，在其E盘下面出现SysAuto.exe的情况 并且删除后重启又有。今天拿到了样本，这是一个qq盗号木马。
“QQ之盗139373”(Win32.Troj.AmorBc.c.139373)这是一个qq盗号木马。 “梦幻之盗dp”(Win32.Troj.OnlineGames.dp.81920)这是一个qq盗号木马。
“qq盗号木马110771”（Win32.Troj.QQPassT.ah.110771），该木马会盗取用户的qq号码，并会从网络下载大量病毒运行。
qq盗号木马“远程破解”与“本地破解”正好相反，是指qq盗号者通过网络盗窃远端qq用户的密码。
12345678910
5月20、21日，北京国际会议中心将迎来“2015华为网络大会” (Huawei Network Congress 2015)。下一代广域网最新技术将悉数亮相HNC，还有精彩业务演示等你现场体验。多场专业的论坛同时举行，众多
&&&&&&&&&&&&&&&
& CBS Interactive. All rights reserved.
北京智德典康电子商务有限公司（至顶网）版权所有.
京ICP证010391号 京ICP备号-159
京公网安备：
CBSi中国媒体> 标签 > QQ盗号木马
金山毒霸安全中心昨晚监测发现，有病毒团伙利用马航失联客机事件通过QQ和邮件传播QQ盗号木马，在盗取QQ密码之后进而实施更多诈骗行为。安全专家提醒广大网民，在查看马航..
安卓网官方微信
微信号 Hiapk2013
这里有最无节操的小编和最鲜辣的资讯！您好，欢迎来到119G网盘！请登录 |
和万千网友分享文档资料
当前已有5347075个文件
本类周下载排行榜
当前位置：-&
QQ盗号软件免费版_QQ盗号器2015最新版
上传用户：
文件标签：,,,,,,,
文件大小：39.79MB
文件类型：.zip
上传时间： 13:33:29
上传者IP：61.164.*.*
内容监督：
SHA1值：DF6F42D70CAAE4B5E360
文件状态：已分享
119G免费网盘,注册即可享用119G以上永久大容量免费网络硬盘空间。
文件详细介绍
下载链接：
HTML代码：
论坛代码：
文件下载地址
用户其他文件}