案情回顾传送门:关于近期出现的QQ自动加好友的分析1.0
注:目前自动加好友判断为某增值导致,有且并不仅限于以下情况,只是提供一个排查思路。
此前师兄分享了网吧排查自动加好友的案例分析,最近几天发现此“木马”产生了变种,我们将更进一层地做个分析:现象依旧是登陆QQ之后会不断的自动加好友,如果是异地登陆还会弹出无数个输入验证码的框。
下面我们还是按照师兄的思路分析:
首先还是使用pchunter查看QQ.exe进程下面可疑的模块,我们windows下的twain_64.dll非常可疑(之前可疑文件dll.dll路径为temp目录)
接着我们使用OD打开dll观察确认是此twain_64.dll导致了自动加好友;
通过process monitor来抓取登陆QQ过程,判断究竟是谁生成twain_64.dll,细查发现是桌面进程explorer.exe:
当我排查到这一步的时候,开始我是懵逼的,系统进程为什么会创建“木马”呢,首先我怀疑这个explorer.exe是假体文件,或者被注入了;
果断任务管理器结束之后重新运行explorer.exe之后发现无效;路径也是正常windows\explorer.exe文件。
如果不是假体或者注入那应该就是文件本身有问题,于是我想着提取explorer.exe文件对比:
我先把可疑的explorer改名,然后把M8的提取explorer.exe文件放进去,仔细看字节并不一样呀喂,险些就被文件占用空间大小骗了!也可以对比MD5
既然发现文件有问题,想着可以挂载把正常文件替换就可以了,然而替换重启后发现正常explorer文件被删除了,又重新生成了“木马explorer.exe”;
我们只能通过批处理结束桌面进程,然后获取管理员权限把explorer.exe改名,最后把正常文件复制过去运行的方法测试,QQ登陆已正常。
解决方案:
1.可以对twain_64.dll文件做占位锁权限处理,测试正常;
2.如果害怕dll名称变化,也可以对explorer结束并开机替换文件的方式,同时需要注意权限和开机批处理延时,测试正常;
下载正常的win7x64版explorer.exe文件:explorer.rar
@echo off
taskkill -im explorer.exe /f
echo y|cacls "c:\windows\explorer.exe" /c /p everyone:f
ren c:\windows\explorer.exe explorer.exe1
copy c:\explorer.exe c:\windows\
ping 127.0.0.1 -n 1
start c:\windows\explorer.exe
exit
未完待续... 目前只是怀疑某茶的pnp包自创explorer.exe有问题,至于如何去除创建文件待排查,亦或是其他增值广告引起,详情我会持续更新
三国版M8包下载地址:http://www.583go.com/resource.php?mod=view&rid=124
原创帖,感谢易乐游技术肖大神和ST小杰的协助,转载请保留http://www.583go.com
