前段时间和骗子对决了一番 哈哈 真有意思
那时候就是为了运行各种可疑程序安装了虚拟机
今天就是用上了
是一个QQ刷钻的
hxxp://www.5173.com.js-20130109-169535.wanmaoxa.net/index.asp?id=1007
腾讯Q币50元600Q币 点立即购买登录,填自己需要充值的QQ号,注意别填错了QQ号码,平台充值 方便快捷 拍下后给成功截图
ps 该钓鱼链接360不报
聊天记录直接贴上的,有点乱,看看大致意思就行~~
18:14:05 活动:截图网银余额证明有支付能力,0.1试充50个给你 然后再去付款50到账550再确认收货,听不懂别M了很忙 只支持网银付款,(不支持/财付通/支付宝)截图好联系 18:14:41 我网银好几千呢 18:15:25 先试充吧,我用支付宝付款行么? 18:15:47 试冲只能网银的 18:16:37 哦 18:16:39 行 18:16:43 你给我链接啊 18:16:54 试冲 18:16:54 试冲 18:16:55 试冲? 18:17:09 活动:截图网银余额证明有支付能力,0.1试充50个给你 然后再去付款50到账550再确认收货,听不懂别M了很忙 只支持网银付款,(不支持/财付通/支付宝)截图好联系 18:16:54 试冲 18:18:14 截图网银余额证明 18:18:20 很麻烦啊 18:18:36 你给我连接直接弄不就行了 18:18:59 试冲和 平台拍不一样的 18:19:23 你说怎么弄啊 18:20:06 登陆网上银行 截图给我 太系统时间一起的 需要今天登陆的 18:50:00 真服了你了 18:50:19 你稍等下 现在准备给你配对 18:50:19 接收之前请关闭下与QQ充值无关的软件,例如歪歪语音,酷狗音乐,看电影的 ,360安全卫士,360杀毒,和QQ电脑管家等等所有软件,除了QQ聊天工具不关闭, 其他一律都需要关闭退出才可以,不关闭,不能正常充值到账,QB到账以后即可打开。 18:51:02 把你要冲的QQ先告诉我 18:51:09 就是这个啊 18:51:12 1634@#¥%%58 18:51:17 你稍等下 现在准备给你配对 接收之前请关闭下与QQ充值无关的软件,例如歪歪语音,酷狗音乐,看电影的 ,360安全卫士,360杀毒,和QQ电脑管家等等所有软件,除了QQ聊天工具不关闭, 其他一律都需要关闭退出才可以,不关闭,不能正常充值到账,QB到账以后即可打开。 18:51:24 你直接冲吧 18:51:42 我看到有了待会直接给你51就是了 18:51:52 为了一毛钱也不至于不给你了 18:52:04 我们这是配对冲值的 不配对冲值不了 18:52:15 怎么个配对发 18:52:40 你稍等下 现在准备给你配对 接收之前请关闭下与QQ充值无关的软件,例如歪歪语音,酷狗音乐,看电影的 ,360安全卫士,360杀毒,和QQ电脑管家等等所有软件,除了QQ聊天工具不关闭, 其他一律都需要关闭退出才可以,不关闭,不能正常充值到账,QB到账以后即可打开。 好了在通知我 18:52:48 那你等一下 18:52:58 我关360得重启电脑 出售低价Q币】 18:58:14 打开编队编码 和系统时间 一起截个图给我 这个配对编码不能关记住 18:59:01 成功接收文件“配对编码查询.rar” 打开文件 打开所在文件夹 不哭 19:02:08 不哭 19:02:20 是这样么? 【出售低价Q币】 19:02:37 对的 \ 【出售低价Q币】 19:02:45 你稍等下 不哭 19:02:46 哦 不哭 19:05:30 还不行呀,姐姐 【出售低价Q币】 19:05:49 hxxp://www.91ka.com/pay.php?sid=881300914193 现在您支付0.1元激活一下订单,就可以充值到您账户了 最后一步了,请您在5分钟之内完成,否则失效导致Q币不到帐 邮箱填要冲值的QQ邮箱,试冲只能一次记住别填错了 【出售低价Q币】 19:11:12 ?? 不哭 19:13:50 支付完成啦,姐姐 【出售低价Q币】 19:14:09 给我图 【出售低价Q币】 19:14:24 给成功的那个图和我就好 不哭 19:14:27 你不早说 不哭 19:14:31 我关了 【出售低价Q币】 19:15:45 我发不出去什么情况确定支付了? 不哭 19:16:12 我的Q币怎么没有啊 不哭 19:16:19 是啊 【出售低价Q币】 19:16:29 你还没激活吧 不哭 19:16:52 怎么激活啊 不哭 19:17:04 我的Q币怎么没有啊 不哭 19:16:52 怎么激活啊 不哭 19:17:04 我的Q币怎么没有啊 不哭 19:16:52 怎么激活啊 【出售低价Q币】 19:18:59 你是关了编码还是什么情况? 不哭 19:19:09 没关啊 【出售低价Q币】 19:19:21 你没有激活啊 不哭 19:20:22 怎么激活啊 【出售低价Q币】 19:20:34 hxxp://www.91ka.com/pay.php?sid=881300914193 现在您支付0.1元激活一下订单,就可以充值到您账户了 最后一步了,请您在5分钟之内完成,否则失效导致Q币不到帐 不哭 19:21:33 我再试试 【出售低价Q币】 19:21:41 额 【出售低价Q币】 19:27:46 什么情况了? 不哭 19:30:21 你丫以为人人跟你一样2B是吧
剩下的不大和谐的就不发了
运行了那个木马之后 网银支付金额1000被修改为0.1见截图
然后又是和骗子聊了一大会
vt上只有大蜘蛛和红伞报了
360QVM报病毒
反汇编分析发现该木马是使用vb编写的
运行的时候先释放互斥体
然后判断网络连接状况 如无网络连接 就不运行
然后从服务器上读取数据 并篡改支付页面
这也就是一开始那个人为什么问银行卡里还有多少钱的原因了
从那个截图里也能看到 是支付金额被修改为1000,而1000也恰好是之前说的卡里还有1000块钱。
其实和主流的网购木马比起来,这个木马还是不很成熟,一次性盗取1000,很容易被发现的。而很多别的木马,都是一次5快千左右,一个账户最多盗取200元左右。
IDA反汇编分析发现大量与支付有关的代码
更可笑的是那个人竟然还在文件末尾故意留下了自己的信息,但是看那个人的QQ,空间和淘宝好久不更新了,估计。。。。。。
转自:http://zone.wooyun.org/content/2529
欢乐吐槽:
1#
xsser (十根阳具有长短!!) | 2013-01-28 11:50
给力!
2#
se55i0n (那些年,我们一起看的岛国动作片~) | 2013-01-28 12:52
哈哈,有意思!
3#
小胖子 (我是小胖子,我为z7y代言!!) | 2013-01-28 13:02
页面可以篡改?这~~~~~~~~~
4#
Wdot (xss.tw邀请码是限量版的,留个E-mail就想得邀请码,那不是太对不起大家了。。。以后不再清理账户了。。。) | 2013-01-28 13:03
最后一张图,我成人那人很有才~
5#
liyang (铁道游击队队长) | 2013-01-28 17:55
@小胖子 呵呵 前段时间流行的网购木马不就是这原理么~~更改支付账号和金额~
6#
小胖子 (我是小胖子,我为z7y代言!!) | 2013-01-28 18:04
@liyang CCB的话,新型的U盾可以提醒用户,及时看到的是0.1元,U盾上提示还是会是1000吧?
7#
寸芒 (摩尔庄园---机油乐园) | 2013-01-28 18:16
卡饭的帖子把……我看过的,莫非您就是作者???
8#
liyang (铁道游击队队长) | 2013-01-28 19:32
@寸芒 额 我是的~~你是哪位~~
9#
liyang (铁道游击队队长) | 2013-01-28 19:33
@小胖子 对啊 二代优盾的话 就是不大好弄了啊~~
10#
px1624 | 2013-01-28 21:24
留qq、、不知道这里的谁曾经都干过、、o(╯□╰)o
11#
f4tb0y (←这是个菜鸟) | 2013-01-29 10:16
好怀念以前挂黑页留QQ的日子
12#
pangshenjie (whoami) | 2013-01-29 10:37
这感觉应该就是某些银行网银的一个漏洞吧,上次在人人也看到一个农行的类似的案例,虽然有了u盾之类的东西,但是每次交易的金额没办法绑定还是会出事情的,中行那种动态口令+手机验证码,发送过来的手机验证码是和交易的金额绑定的,这样他们篡改好像就无力了。
13#
乌帽子 (哄孩子睡觉就像打BOSS,一个操作失误,孩子满血原) | 2013-01-29 10:46
估计。。估计什么啊?
14#
无敌L.t.H (:?门安天京北爱我) | 2013-01-29 11:00
网银几乎都设有限额的,改金额了也容易被发现。
15#
liyang (铁道游击队队长) | 2013-01-29 12:14
@pangshenjie 我认为这也可以说是浏览器的一个漏洞:对缓存文件没有保护。
16#
liyang (铁道游击队队长) | 2013-01-29 12:15
@乌帽子 估计进去了~~
17#
pangshenjie (whoami) | 2013-01-29 12:24
@liyang 不一定是缓存吧,他可以直接劫持数据的,显示的金额可以随便改的吧。
18#
墨水心_Len | 2013-01-29 13:43
赞!
19#
咚咚呛 (邪恶的瞅瞅!!) | 2013-01-30 08:45
最后一段亮瞎了。。。
留言评论(旧系统):