盗号的一些事情,我只可以简单的说下,毕竟这方面的事情是需要非常专业的技术人员去分析。为什么会被盗号,那是因为有病毒,病毒是利用了软件的漏洞去获取密码,所以盗号是有两方面组合起来,病毒+软件漏洞;另外是后门,后门可以理解为家里的钥匙被人复制了一把,这个人想什么时候到你家来都可以开门,后门也就是说盗号的人可以控制病毒的下发时间,当病毒拿到账号密码后,也不是会马上去改你的密码,可能会过几天或者1个星期。

  • 案例1:

上星期查到的一个案例,病毒文件用IDA分析,发现里面有获取按键信息的代码

20230417213917.png

在微步沙箱执行确实有相关行为

20230417214006.png

其次还会检测相关杀毒软件进程信息,检测到相关程序即退出执行

20230417214048.png

里面可以看到后门服务器IP信息,然后通过易语言bbtcp函数去交互,所以这个文件应该就是后门,不是直接盗号的。

20230417214129.png

20230417214145.png

查询里面的IP是 45.125.146.239,发现图片里的4个文件有连过这个IP的

20230417214451.png

相关文件有遍历查找某个进程的行为

20230417214531.png

这个病毒文件是某个营销软件带下来的,后来用户联系厂商,重新更新了服务端就没有了

20230417214618.png

  • 案例2:

是某个去广告软件带来的病毒

20230417214721.png

这个后缀tmp的文件其实是rar,需要解压出来再用IDA分析的,这段代码和病毒给厂商分析确认了,是会盗号的,后期等他们更新解决

20230417214822.png

这里再分享一个小知识,怎么判断后缀是tmp或者dat文件是不是exe文件,右键tmp或者dat文件-点击打开方式-尝试使用这台电脑上的应用-选记事本打开,如下图,里面有MZ的就是exe文件,那么遇到这样的文件就需要分析看看了

20230417215013.png

20230417215043.png

  • 案例3:

某个计费环境下盗号的,给了个升级文件替换后就没有那个随机名的隐藏文件了,应该是某个漏洞导致的

20230417215145.png

总结:盗号环境都不一样,也不是说每个盗号环境都可以查到病毒的,在查不到的环境里,可以取消一些非必用软件排除看看,另外现在好多文件都是加壳的,主要是vmp的壳,这样是分析不了的,upx壳遇到的不多,如果遇到加vmp壳的可以去下面2个分析参考下。

https://www.virustotal.com/gui/home/upload

https://s.threatbook.com/

本文转自E城大叔