现在的目的不是杀掉病毒,而是想通过病毒逆向溯源,下毒者目的是盗取各种网络账号换取金钱,利用木马病毒捕获游戏、聊天软件界面输入的账号密码发送到指定的URL,也就是说,木马病毒中一定存有URL信息。
“X”问沈天成怎么对这个病毒感兴趣,出于保密原因,沈天成打了个哈哈,说是好奇心作祟。其实“X”已经猜到了一些原因,但没说破,只是说需要帮忙说一声,沈天成知道他们最近非常忙,就没有多聊,答应下来就结束了对话。
测试病毒有很多种方式,沙盒测试和虚拟机测试,沙盒测试不会对系统产生任何影响,也不会修改硬盘数据,当沙盒关闭后,所有操作都将回复如初。测试一些未知程序是很方便的,但是也存在一些兼容性的问题,有些软件无法成功运行。
虚拟机可以创建一个真正完整的操作系统,完全独立于系统之外,兼容性很强,不需要担心程序在系统中不能运行,虚拟机的性能强大,可以自定义配置硬件,包括CPU、内存、虚拟网络构建功能,但是创建虚拟机对电脑的配置要求很高,眼下这台电脑勉强带的,速度肯定很慢,斟酌了一会,沈天成还是选择了创建虚拟机。
在电脑上创建了虚拟机,下载了反编译软件,将U盘插入,双击打开U盘,od加载样本,“机器猫”病毒瞬间被激活,激活后释放底层硬盘驱,继而访问指定的网址,开始自下载,不到十分钟,虚拟机里被下载了二十多个木马病毒与恶意程序,硬盘吱吱嘎嘎响,每点一下鼠标都要停顿十几秒,这时候还不能重启,因为正是“抓马”的关键时刻。
选定一个最显眼的木马病毒,打开Ida pro反汇编软件进行安全分析。
电脑速度太慢,屏幕卡住了,只能慢慢等。
手机忽然响了,是个座机号码。
沈天成按了下接听键,就听到师傅的声音。
“天成,跟你说个事。”
“什么事?师傅。”
“昨天在车上我跟你说的那些,其实是一个网络入侵的案子,我被抽调就是进的这个专案组,因为涉密当时我没办法详细说,现在马
局同意了,我必须把真实情况告诉你,是车管所的网络被入侵,市局网络安全中心的技术骨干已经进行了几天的现场勘查,没找到任何痕迹,你有没有把握试试?”
“可以试试。”沈天成毫不犹豫地说道:“但是我这边还没搞好呢。”
“你别这么快回答,你考虑清楚,如果搞不定会很难堪,你还在实习期,要给领导留个好印象。”
“师傅,我明白你意思,对我来说没什么难堪的,我一个实习民警不在乎那些,我就算搞不定还能给我降成副民警吗?”
这句话把邵俊给逗笑了,他也没想到徒弟心态这么好,想想昨晚徒弟说的跟三轮车较劲,的确够倒霉的。
“你那边要多久能搞好?”
“顺利的话几个小时,不顺利的话不好说了。”
“专案组现在是焦头烂额,你是临危受命,不管顺不顺利,都先顾这边,这样吧,我先给马局汇报,你等通知吧。”
“好。”
挂断电话,沈天成盯着屏幕自嘲的笑了笑,想多了太累,多尴尬的处境都经历了,还有什么好顾虑的,他现在把自己当成打不死的小强,继续投入到和病毒作斗争中。
木马病毒内部的信息以汇编代码的形式展开,提取信息中的字符串,比对之后找到了可疑线索,一个域名,应该是用来接收窃取到信息的接口。
通过whois查询该域名的相关信息,得到了一个姓名和qq邮箱地址,搜索qq好友显示不在线,利用搜索引擎查询qq号,发现此人曾在本地论坛发过招聘客服的广告……
不知不觉几个小时过去了,直到曹文斌敲门来送饭卡,沈天成才缓过神,早饭吃得少,已经一点多了,还真是有些饿了。
跟曹文斌一起到食堂打了两份饭,这个点食堂人不多,两人找了个角落坐了下来。
“一上午没敢打扰你,我和袁捷去了好几个网吧,拷贝了不少监控录像。”曹文斌边吃边问:“怎么样?天成,你这边有没有进展?”
“已经找到一些线索,上午研究了其中一个木马,找到一些网上留下的信息,但现在还不敢确定是真实还是伪造的,下午再多拆几个木马,如果信息相同,就没跑了。”
“于大上午找谢队了。
”曹文斌神秘兮兮地说:“他们谈案子的时候我也在,据说指挥中心邓主任梳理接警记录的时候发现,近几天接到多起类似报警,有不少网吧业主反映遭遇类似情况,导致不能正常营业,邓主任跟其他分局做了沟通,最近整个新阳市都有这种情况。”
分局刑警大队副大队长于军,沈天成只闻其名,从没见过本人,据说是个很厉害的角色,这个案子分局领导重视起来了,沈天成思考了一会,忽然说:“我有种感觉,下木马的人并没有多高深的技术。”
“为什么这么说?黑客搞了这么多家网吧,还不是高手?”曹文斌很是不解。
“曹哥,你看我仔细分析一下。”沈天成放下筷子说道:“对方的目的是什么?是为了盗取账号出售赚钱,并不是为了破坏网吧的电脑来显示自己多牛,反过来说,他根本不希望网吧的电脑出问题,电脑速度慢的没法玩,网吧就没人去,他就盗取不到更多的账号,他最希望的状态是网吧发现不了机器被黑,他安安稳稳盗号赚钱,而不是像现在这样,搞的人尽皆知,以致于网吧老板频频报警。”
“网吧被入侵,电脑上中了木马病毒,速度就会变慢,他不希望出问题也不行吧?”
“中了‘机器猫’病毒,就相当于在电脑上开了个后门,他可以远程操作,想种什么功能的木马都可以,上午我详细查了,一共找到二十七个木马,可能还有隐蔽比较深的没发现,这些木马的功能包括记录键盘作并发送到指定网站,也就是人们常说的盗号木马,如果我猜的没错,每个木马都有对应的项目,有专门盗热门网游账号的,有针对网银和交易宝的,有专门盗qq的,有盗邮箱的等等。
网吧的服务器配置非常高,比平常的家用电脑要高上好几个级别,如果种下五个以内的木马,并不会占用多少资源,网吧老板也发现不了,下马者可以很隐蔽的盗号而不被发现,但是对方却没这么做,而是种下了二十多个木马。他要是懂原理,不会这么盲目的一股脑种下这么多,导致电脑无法运行。
如果我是他,我会权衡一番,选择几个隐蔽的木马,选择热门网游的木马,而不是有多少下
多少。由此可以判断,他并没有什么高深技术,所有的木马程序都是买来的,他认为木马下的越多,盗的号种类就越多,却没想过会把电脑搞瘫痪。”
“你这么一说的确挺有道理,先不夸你了,你慢点吃,我把这些情况给谢队和于大汇报一下。”曹文斌撂下筷子慌慌张张往外走,到门口又转身说:“天成,我会跟领导说清楚,线索是你发现的。”
还没来得及应声,人就不见了,沈天成啼笑皆非,曹哥这人挺有意思,知道他不是想抢功,只是希望能够尽快破案。
几口把剩下的饭吃完,回到办公室继续对着电脑研究,一下午,又反编译了两个木马,都指向同一个网址,应该就是接收木马发送敏感信息的网站。
看着门外,不知不觉天已经暗了下来。
要把发现的线索尽快汇报给谢队,到了隔壁谢队却不在,拿出手机给曹文斌打了个电话,说马上到。
几分钟后,谢天和曹文斌和一位很冷峻的中年警察,沈天成连忙站了起来,偷瞄了一眼警.衔,是二级警督,应该是刑警大队领导。
果然和想的一样,谢天开口介绍道:“小沈,这是咱们刑警队于大。”
“于大好。”沈天成连忙敬礼。
“别那么客气,坐。”于军拉过椅子在旁边坐了下来:“小同志叫沈天成对吧?你的事我听谢天同志说了,现在全队的人都等着你呢。案子的真实情况远比我想象的严重,不止我们新城区,南湖、东山两个分局都接到网吧被攻击的警情,估计全市范围内百分之六十的网吧都遭受攻击,谢天同志已经汇总了相关资料,市局命令我们并案侦查,必须尽快找到证据。
刚刚谢天同志说你有发现,我就赶紧过来了,有什么线索赶快说说。”
沈天成挪了挪显示器,指着屏幕说:“报告于大,我对电脑提取的木马样本做了反编译,找到一些嫌疑人留下的信息。”
“小曹,你过来看看。”电脑方面于军不是太懂。
“于大,这个是论坛账号,很多人的习惯是用姓名的拼音来作为账号。”曹文斌很快就看出了端倪。
<p/
你是天才,一秒记住::