幕后黑手it’s you？

夜降临，忙绿了一天，危险漫步和大家也像往常一样，乘车回家休息。回到家中，像往常一样打开了计算机，浏览着网页，看到一款寻找已久的软件，呵呵，看来我人品大发了，打开下载神器，只听叮咚一声，ok已经出现在桌面了。我迫不及待的打开了软件，ok能正常使用。过了一会儿，qq掉线了。第一反应不是中招了，而是心理咒骂着什么破网络，又掉线了。重新登录q，习惯性的敲完密码，回车……

挂qq虽然不是为了寒暄下，但是已经成为了大部分的人习惯了（电子鸦片）。我打开q这次敲完密码，我没有按回车键而是点击了登录按钮，点了但是就是没有反应，提示密码错误，总是提示密码错误，这时已经有种不详的预感了，登录成功显示上次登录的地方竟然是国外。不想发生的一幕还是发生了，号被盗了。这使我联想到，昨天下载的软件可能有问题（偶上网习惯还是很好的，所以就没有安装杀毒软件，更重要的是，杀毒软件和病毒使用的是同样的技术，有时也很可怕的）。

首先要做的第一步就是断网，接着拿出ark工具观察可疑进程，线程，服务，以及自启动信息。在进程窗口能看到有个可疑进程svchost.exe后面写的文件厂商是hacker jonny。ok，右键定位进程文件，一看就是伪装的，不是微软的正规操控服务的进程。二话不说先传到杀毒网上，给他来个记号，以免广大群众重蹈覆辙。右键强制结束掉进程并删除文件，其实在C：\WINDOWS\system文件下的HJonny.bat（删除自身以及一直ping）也是盗号程序释放的。启动项里有个autokill的后面也写着hackerjonny，ok右键删除启动信息。下面就让我们一起看下病毒文件svchost.exe，先peid看下有没有壳，ok，vb写的od载入，右键查找unicode（因为是vb写的程序）。从显示出的参考字串可以看出之前那个批处理是盗号程序释放的，以及之前删掉的注册表。其实这里大家可以不用od跟进去慢慢分析出盗号者的账号密码。这里还有更简单的方法。不知道大家注意到后面写了个overlay，ok，就是它。因为很多盗号程序都把配置信息写在附加文件中。

用winhex载入，一直向下托，就会看到盗号者的配置信息了。利用获得的qq账号以及密码登陆他的邮箱看了下，他这几天收获不小。查了下盗号者本人还收徒弟教授各种盗号技术。看了下头顶上的钟表，时间已不早了，明天在接着搞这个盗号的。

首先我用那个qq加了我几个号（为了之后改密保用的），其次我一个刷钻工具（你懂地）捆绑了木马。我用另一个q加了他，冒充崇拜他，想要学习黑客技术，我问他qq能刷会员，刷钻。他说没问题。接着我说，我从淘宝网上买了个刷钻工具，不会用，能否教下我怎么用，他让我把工具传给他，ok过了一会我看见我的远程客户端又多了一台肉鸡。他说，这工具不好用，我说那你拿你的工具教我吧，他说要600元（真是穷疯了），我说太贵了，就下线了。

话说一个周的时间，我了解了很多他的嗜好，也为我们修改密保做好了准备。等一个周不仅仅是为了搞清他的一些问题，更重要的是腾讯有规定，提起申诉的几个好友必须要一周以上才行。我填写了申诉，过了段时间密保修改成功了。

总的来说这次恶搞这个盗号者没有太大的技术含量，服务端没有加密钻了空子，以及社工的运用。事后查了下，这是幻魇qq大盗（作者分享出来是为了研究技术的）生成的木马服务端。事后我找到客户端生成了一个简单跟了下，首先.exe启动svchost进程，接着svchost将自己添加到注册表中，调用HJonny.bat批处理，一直ping以及删除桌面客户端。启动qq时他会先调用伪装的qq登录界面，当回车事他会把相应信息发送盗号者箱子中以及调用腾

讯的qq上线（分析不到位的地方，还希望各位大大拍砖一嘿嘿，不怕滴，我已戴好了安全帽）。为了防止大家不小心运行盗号程序，提取的样本文件就不提供了，我用幻魇qq大盗重新生成一个指向无效地址的地方，方便大家练手