终截者实战免杀版QQ大盗

前言
今天有同事告诉我,黑基论坛上有人发布了最新的免杀版的QQ盗取工具
---浩哥6.24免杀QQ盗
好奇之下,下载下来一试,果然Kaspersky对其毫无反应,其他的杀软我暂时没有尝试.
正好手头下刚下载了终截者,其密码锁的功能最近广为传播,正好用来测试一下其防御功能
木马行为
PEID检测了一下, 该木马加了FSG2.0的壳
1. 创建C:\WINDOWS\system32\SVOHOST.exe,并启动该进程
2. 写入HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SoundMam,实现svohost.exe的自启动
3. 创建C:\WINDOWS\system32\winscok.dll,并将该DLL注入到QQ进程中去,进行QQ密码的截取

4. 截取到密码后发送到远程指定邮箱
环境
Windows XP SP2
QQ2005
Kaspersky Personal Pro 5.0.388 病毒库升级到最新

实验过程
未安装终截者的情况
运行Ethereal进行网络抓包监控
启动QQ2005正常登陆
一切看起来都似乎很正常,Kaspersky也悄无声息
但打开Ethereal就明白,一切都已经晚了…
以下是监控到的部分数据包

从上面可以看出在你输入密码完毕,点击登录的时候,木马就将密码给截获了下来(即使腾讯已经对密码框控件做了保护),然后第一时间发送到 qqtegong@21cn.com这个邮箱
就这样,用户的密码在不知不觉中已经在别人的邮箱里面趴着了.
已安装终截者的情况
第一防御线----进程防御
该木马启动时,终截者的进程拦截即报告高危行为,如果在这个时候拦截的话,悲剧将永远不会发生了…

就算你不相信终截者,坚持要启动该进程,不要紧,请接着看终截者的防御
  
参见木马行为1可以知道,SVOHOST.exe是由先前启动的木马进程创建的,先前的进程在创建完SVOHOST后,就会删除自身的文件,达到隐藏的目的.
如果你是一个有一定系统经验的人就应该知道这个文件是仿造SVCHOST.EXE进程名来伪装自己的,所以这个时候就会点击禁止来阻止该进程的运行.
这是终截者提供的第一道防御---进程防御
这个时候大概有人会说”我对电脑什么都不懂,这些进程名我看不出危险,那我怎么办呢?”
放心吧,如果终截这就这么两下的话,那就太对不起终截者这个名称的意义了.
第二防御线----自启动防御
我们这里假设未发现异常,还是点击允许,启动了SVOHOST这个进程
接下来该进程会每隔几秒写入注册表HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SoundMam这个值[参见木马行为2]
终截者是能够监控注册表的自启动区域
一有异常,立刻就会报警
所以当用户发现报警时,稍微用心一点就能发现异常SVOHOST.exe这个进程的行为非常可疑
再者,一个进程频繁在注册表里面相同的位置写相同的值,这种行为可能是正常的吗?
   
这是终结者的第二道防御线—自启动防御,如果你的神经迟钝到对此还是毫无反应的话,也没问题,看看终截者后面表现
第三防御线----密码防御
现在该木马程序已经完全启动,也已经生成了winscok.dll这个文件,就等着你启动QQ程序了.
好,满足它的愿望,我们立刻运行QQ
  
如果你的QQ未保护,终截者会提醒你加入保护名单.
以后在你启动QQ的时候,在桌面的右下角会出现密码锁的标志
  
也可以点击主界面查看密码锁内容
  

   
从我登陆QQ开始,直到QQ退出,
共监控了167个数据包,未再发现一个SMTP相关的数据包
   
对比一下就可以知道了
这里的第一个数据包就是未安装终截者情况中的第31个数据包
少了什么? 就是发送密码邮件的那部分
可以看出,终截者成功地拦截木马盗取QQ号的行为
退出QQ的时候,终截者会弹出一个提示,可以点击详细信息来查看其他进程对QQ的访问情况
     

   
终截者准确地显示了木马的非法的操作,在这里即使你什么都不懂,终截者还是在底层为你的密码默默守护者
这就是终截者提供的第三道防护—密码防御
结束言
整个终截者针对QQ密码盗取构建了三层防御体系,而且在易用性上也提供了很大的便利性.可以说,即使用户对电脑一无所知,只要使用终截者,启动了密码锁,极大提高了用户密码的安全性,而且这一切都是自动在底层进行的,不会对用户的其他操作造成影响,不需要用户专业的计算机使用经验.
   当然终截者不会仅仅只有这么多内容,它的安全回归也是一项特有的专利技术,为用户手工解决系统故障提供了简便的手段.
   这在以后会更加详细地介绍
来源：http://bbs.s-sos.net