社会工程学（实战全程）

true

0×01
　　一个朋友就发给我一个文件，一看文件的名字是拿货清单.tbz2，我第一感觉是病毒，然后就打电话告诉我的那个朋友，她的QQ号码可能被盗了，让她赶快修改密码，她改完之后，这件事情本来应该结束的，因为我的好奇心，还有发现这个木马是免杀的，所以就去分析了下这个木马，然后就有了后来的事情。
　　0×02
　　样本图标：

是不是感觉很诡异，压缩前的文件竟然比压缩后的文件还要大5000K，我用Winhex打开，发现里面有这个完整的PE，才看了下原来压缩比例是100%，根本就没进行压缩算法，而且在压缩包的文件末尾还加了好多没用的数据，看来这作者是在构建畸形压缩包，起到QQ传输木马不被发现里面包含PE的作用。

0×03
　　用户通过打开压缩包，双击运行压缩包里的木马后，木马会运行起来，然后从自身资源释放一张图片到电脑上，通过系统调用打开图片，起到迷糊用户的目的，用户以为打开的是图片，如图：

但是他们不知道其实木马还没结束，它会把自身复制到临时目录下，然后通过WinExec这个API，传递第二个参数是SW_HIDE把自身重新运行起来，如图：

再次运行起来的木马，因为是隐藏运行的，所以会走下面的木马流程，如图：

注册一个窗口：

动态创建控件，伪装QQ重新登录的界面，如图：

设置控件的风格，如图：

构造的界面如图所示，感觉挺真的，不认真看真看不来：



解密字符串，解密出腾讯的窗口类型，如图：

设置定时器，监控QQ窗口是否被激活，如图：



通过NtSuspendProcess把QQ进程挂起，弹出钓鱼的界面，如图：

定时器函数里的作用就是，每过固定间隔，检测一下窗口类为TXGuiFoundation的窗口是否存在，如果存在的话，就弹出钓鱼的窗口，如图:

用户点登陆后，会弹出2次，如果2次密码输入的一样，就会把密码发送到远程服务器，如图：

这是发送到远程服务器的地址，如图：

0×04
　　通过对这个地址的挖掘，发现地址:http://119.163.172.10/socket/ste.php是一个企业的网站，如图：

只有一个解释就是，这个网站被入侵了，木马作者把转发脚本放到网站上，靠转发脚本把窃取到的账号和密码发到他真正的服务器，木马作者之所以这么干，可能是因为360会拦截发往黑域名或者黑IP的数据，作者是靠企业网站做中转，这样木马向这个中转网站发数据，360不会拦截，因为这些企业网站是可信域名。
　　于是就试图找下这个站的漏洞，原来这个站是用的老版本的thinkphp，存在漏洞，漏洞地址为：http://xxx.xxx.xxx.10/outbound/index.php/xxx/xxx/xxx/%7B$%7B@eval(phpinfo())%7D%7D
　　截图：

于是挂上菜刀，发现/var/www/html/socket/目录下的确实存在一个转发脚本，是4月30号刚上传上去的，可以看出来这人是通过比较老的THINKPHP漏洞拿到的webshell,如图：

这个脚本具有转发数据的功能，附加上中毒者的IP后转到真正的服务器地址：http://122.0.71.39:8080/admin/sub.asp，也就是QQ木马的箱子地址，如图：


0×05
　　通过对地址的进一步挖掘找到了作者的QQ号，和他女朋友的QQ：
　　木马作者的QQ：4102*42**

估计是他女朋友的QQ号：529944***