盗号的一些事情,我只可以简单的说下,毕竟这方面的事情是需要非常专业的技术人员去分析。为什么会被盗号,那是因为有病毒,病毒是利用了软件的漏洞去获取密码,所以盗号是有两方面组合起来,病毒+软件漏洞;另外是后门,后门可以理解为家里的钥匙被人复制了一把,这个人想什么时候到你家来都可以开门,后门也就是说盗号的人可以控制病毒的下发时间,当病毒拿到账号密码后,也不是会马上去改你的密码,可能会过几天或者1个星期。
- 案例1:
上星期查到的一个案例,病毒文件用IDA分析,发现里面有获取按键信息的代码
在微步沙箱执行确实有相关行为
其次还会检测相关杀毒软件进程信息,检测到相关程序即退出执行
里面可以看到后门服务器IP信息,然后通过易语言bbtcp函数去交互,所以这个文件应该就是后门,不是直接盗号的。
查询里面的IP是 45.125.146.239,发现图片里的4个文件有连过这个IP的
相关文件有遍历查找某个进程的行为
这个病毒文件是某个营销软件带下来的,后来用户联系厂商,重新更新了服务端就没有了
- 案例2:
是某个去广告软件带来的病毒
这个后缀tmp的文件其实是rar,需要解压出来再用IDA分析的,这段代码和病毒给厂商分析确认了,是会盗号的,后期等他们更新解决
这里再分享一个小知识,怎么判断后缀是tmp或者dat文件是不是exe文件,右键tmp或者dat文件-点击打开方式-尝试使用这台电脑上的应用-选记事本打开,如下图,里面有MZ的就是exe文件,那么遇到这样的文件就需要分析看看了
- 案例3:
某个计费环境下盗号的,给了个升级文件替换后就没有那个随机名的隐藏文件了,应该是某个漏洞导致的
总结:盗号环境都不一样,也不是说每个盗号环境都可以查到病毒的,在查不到的环境里,可以取消一些非必用软件排除看看,另外现在好多文件都是加壳的,主要是vmp的壳,这样是分析不了的,upx壳遇到的不多,如果遇到加vmp壳的可以去下面2个分析参考下。
https://www.virustotal.com/gui/home/upload
本文转自E城大叔