密码锁对付QQ大盗

今天收到网友邮件，强烈推荐我一款最新的QQ密码盗取木马生成器——全能QQ大盗。 我就纳闷呢，这年头怎么有这么多人对这玩意这么感兴趣呢……不管怎么说，盛情难却，就收下这款宝贝，以后用来整整人也好。
先让我们来看看这款木马的介绍。
目前为止，最牛X的QQ木马。可以获取用户Q币数量、游戏币数量、QQ积分、QQ游戏点等信息。完美破解QQ2006键盘保护，密码框不会出现红叉叉， 所有版本QQ通杀，包括最新的QQ2006 Beta2。采用特殊的线程插入技术，无启动项，无进程， 突破各类防火墙（如：天网、卡巴、瑞星、金山网镖、江民……）。采用同类QQ木马当中，绝对领先的技术，准确获取QQ密码，绝无偏差。用户登陆成功后再发信，从而杜绝重复发信、密码错误发信情况，不在收取重复信件，提高软件工作效率立即删除自身，让木马不留痕迹。具有定时关闭QQ和防重复运行的功能！下面是截图：
[img][/img]
看的出来，这款密码盗取软件针对目前国内外的主流桌面防火墙软件作出了针对性的改进，且具有很高的隐蔽性，一旦运行了木马的EXE，它就几乎彻底隐藏了自己，就象广告中说的一样，无启动项，无进程。常规的检测工具要检测它具有一定的难度，所以这款木马生成器生成的木马对于普通用户来说具有相当大的杀伤力。
木马分析
接下来我们来看看该木马的工作流程：
木马在获得启动运行后，就会将复制一个备份到C:\Program Files\Internet Explorer\PLUGINS，并重命名为qn911.dll(其实这还是一个EXE文件)并将其文件属性设为隐藏和系统然后在C:\Program Files\Internet Explorer\PLUGINS释放出qn911.sys(其实这是一个DLL文件)。
这时候木马会在系统注册表内注册一个CLASSID
HKCR\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}
并将该CLSID和C:\Program Files\Internet Explorer\PLUGINS\qn911.sys联系在一起。然后将该CLSID添加添加到注册表的ShellExecuteHooks下
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}=""
(老鸟这时候就会说了，原来它的无启动项和特殊的线程插入技术就是这么实现的啊…)
Qn911.sys内含有钩子WH_GETMESSAGE。
在木马下完钩子后，完成盗取QQ密码的准备工作后就创建一个名为MicroSoft.bat的批处理文件，用于删除木马的EXE文件和批处理自身.这样它在系统中就是”无进程”了。
这里有个插曲，木马的作者会给分析人员一些留言，内容如下:
wodexiaoshihouchaonaorenxingdeshihou
waiozongshichanggehongwonahsougehaoxiangzheyangchangdewodeguxiangzaiyuanfang
tianheiheitiootiantiandouyaoniaiwodexinsiyounicaibuyaowenwocongnalilai
由于我的小学拼音实在不怎么样，而且由于时间关系，所以这个内容留给感兴趣的人来解读吧。(没有标点符号的文章实在很难读啊)。
这时如果启动QQ，通过ShellExecuteHooks，qn911.sys就会插入到QQ的进程空间中去了。