篡改网页的老流氓
本帖最后由 ghostsang 于 2020-4-15 14:21 编辑早上开机,发现火绒日志出现了几个恶意网址拦截.就分析了下
看了下时间, 还每隔10分钟来一次.
在火绒剑监听里,看到不止网址拦截, 还存在记录文件的情况
删除还显示dll正在被运行
看了下几个的签名,所属公司如下(跑跑跳跳??):
拖入IDA 查看了下,涉及url:
访问了下网址,
修改浏览器列表的数组,被base64加密了 :
写入服务注册表,用svchost进行启动
然后找到了注册表 :
现在删除注册表和exe文件,火绒也没有报拦截的日志了(拦截的时间是之前的,发布时间是1点多..).
iocs:
url:
znshuru.com
znyshurufa.com
MD5:
0F4BCF148AB19D2693508C15A7DB7752
DE33FD8E8589E8BCDF9DD98E41AE2622
FC1D9C65C78798C19670CF767455A7C4
DC22DCB337EBDC8850B8F97230DCCA37
7E647BB093A305779E11E48D0A52F70E
7FBD10F03F7081E3EFE54EF3E0A6B90A
流痞,这在你们圈内人看来。不过是大佬而已,但是在我们圈外人看来,这就是神 布丁桌面老流氓 学习了.学习学习如何使用工具来pass老流氓行为~!感谢分享. 大佬,我也受到类似的困扰,如图,请教大佬怎么排查,谢谢。
这类购物助手首选chrome商店的,要安全得多。 布丁跑跑的我也中过,本体是一个什么输入法卸载程序(不知道哪里来的),腾讯不报,后来安了卡巴斯基,被卡巴干掉了 tzxinqing 发表于 2020-4-15 14:42
大佬,我也受到类似的困扰,如图,请教大佬怎么排查,谢谢。
查看注册表\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost 排查下是否有有关的注册表项 支持
来一波 跑跑跳跳真是活泼得一批