BanID:我来看看来哦 【发布软件捆绑远控木马】
BanID:我来看看来哦 【发布软件捆绑远控木马】
最先由巡查@nicholsix 在论坛巡逻中发现此人发布软件增加弹窗广告给予处理,之后由大H分析发现远不止广告这么简单,程序还捆绑了远控木马,简要分析如下
此人发布了两个主程序,程序运行会释放一个exe,又新的exe来释放远控dll并添加服务启动:
圈圈赞软件.exe(MD5: 4496B80A44843C00F8BCCCFCAC2D7CB5和MD5: 4CE4DFDC9990E76073A25AA302E01444)
%SystemRoot%\services.exe(MD5: 91D82157C3CB764B01390E61FE375FDE)
%SystemRoot%\system32\6t*****.dll或者%SystemRoot%\SysWOW64\6t*****.dll(dll文件名随机MD5: A755DDCCBE1ADD64D7A6CC142269E128)
程序会判断各种杀软进行是否运行,运行的话就弹出错提示并结束杀软进程,可惜这木马水平太次,压根是不可能结束掉的:
运行后会把木马释放在system32下(64位是SysWOW64),木马是随机名称,可以从服务中查看到:
这个dll远控木马会连接到118.123.19.76这个IP上
如何查杀:
最简单的办法就用360、金山和QQ管家等杀软扫描处理下即可,都可以杀掉这个小木马,也可以用PCHunter这样的ark工具进行手动杀毒,把服务停止后删除DLL即可。
想对那些涂怀不轨的*渣说,你在吾爱破解这样的技术论坛玩这种小伎俩,这里都是活跃在互联网安全界的精英,这点小动作就是找死,奉劝那些蠢蠢欲动的人,尽快走入正途,不要误入歧途!
最后感谢大家一直以来对吾爱破解论坛的支持和维护,论坛安全离不开大家监督,任何违法违规的行为都逃不过大家的眼睛和管理的审查,对待此类*渣论坛绝不手软,坚决处罚到底!
搜了一下论坛,看到不少人发这个“圈圈赞”软件,基本都有木马,找到个发源码的,看起来都不是所谓的原创,都是拿现成代码修改的,类似下面的:
【刷手机QQ圈圈赞99+接单版】源码-永久免费共享版
http://www.52pojie.cn/thread-368603-1-1.html
然后就翻了一下,果然不出所料,这个里面带有的Android.ec模块(MD5: E69B99D71570CB8A21456E6B03232B59)捆绑了木马,可以用分离PE的工具就能分离出来,只要用这个模块编译应该都会带有木马,不知道是谁先干出来的。 防不慎防啊,随便装个360还是有必要的 唉,服务器也不用好点的,03服务器。。
安全防范最重要
轩少 发表于 2015-6-26 11:12
唉,服务器也不用好点的,03服务器。。
以前不都是03么稳定一些吧现在阿里云都没有03的了 晚了 这种渣渣小学生 就不回来了 砍了最简单了
bailei 发表于 2015-6-26 11:15
以前不都是03么稳定一些吧现在阿里云都没有03的了
但是03微软好像都不维护了 轩少 发表于 2015-6-26 11:16
但是03微软好像都不维护了
嗯 就是不支持维护了但是用服务器的话感觉08的不习惯{:301_1001:} bailei 发表于 2015-6-26 11:16
嗯 就是不支持维护了但是用服务器的话感觉08的不习惯
用惯就好,08、12才是现在主流了 {:1_930:}对于习惯03的菜鸟、情何以堪 版主大大威武,顶!!!!!