BanID:Ss゛锋子℡和qq412158094【发布软件捆绑格盘远控木马】
BanID:Ss゛锋子℡和qq412158094【发布软件捆绑格盘远控木马】事情经过:qq412158094在原创区发帖“最新版可用网盘分析工具”,我审核原创区的时候发现软件被捆绑了一个木马,我就将其ban了
没过一天,被ban的人又注册了一个马甲Ss゛锋子℡,还来发帖问为什么我ban他
一般情况下,如果是木马作者放木马不会这么呆又来注册一个马甲还问为什么ban他,因为ban了的原因是放木马是可以从小黑屋看到的,但放木马这个是事实(后面我给出具体病毒分析过程),难道作者自己不知道有木马?抱着这个想法我和他聊了会,由于昨天实在太忙,服务器还忙着维护,开始没有具体分析木马过程,只是简单运行后把木马释放的截图和代码发给他看,并把火眼分析木马的过程也发出来,具体看他帖子:
http://www.52pojie.cn/thread-422209-1-1.html
然后他就开始扯皮了,说是他的程序没问题,程序加了Shielden的壳,是不是壳干的?然后我就解释壳能做的,和程序能做的从代码可以区分,反正后面他就咬定Shielden干的了(我发给@Nooby ,Shielden的作者,一会让他来打脸)。
并且他又开始发了一个程序,并且新的程序真没有木马,但也没有加壳。更奇怪的是新的程序连易语言的花指令都没有了,之前有木马的程序还加了易语言花指令(懂易语言的同学可以解释下这个要怎么实现)。
截止到这时候我也抱有希望他可能真的不知道这个木马有没有,是不是模块干的,所以他扯一堆我也不理他让他发代码,有了代码就显而易见了,因为原始发出来的有木马,他发的代码要是有木马那情有可原,他不知道,如果代码没有木马,那肯定就是他放的木马了,不然木马和花指令自己没了?他发的代码验证没有木马过程,所以确定是他干的。也不可能是他易语言被感染了,因为他前面的原程序有木马,后面编译的就没木马。更不可能是se加壳的问题,这个我后面技术分析会讲,并且他自己也用se再加壳就没有出现木马。这些是经过从帖子都可以看出来,下面我带大家分析下这个木马过程:
木马:
网盘分析工具.exe MD5: AAAC973C9EBAB9B8866A3F502ABBE6E2
svchost.exe525EB89E126270423F0B595A9C05EE0C
解压密码:52pojie
过程:
网盘分析工具.exe运行后释放C:\WINDOWS\system32\Do\svchost.exe并运行,程序加了se的壳,可以直接带壳调试,程序还加了易语言花指令,直接用吾爱OD里面去易语言花指令工具去除,然后查看下字符串就找到关键了,代码如下:
可以清楚看到释放运行木马的过程在代码段上,去除易语言花指令后易语言的风格代码清晰可见,这位放木马的菜鸟别在往se身上赖了。
主体释放木马运行后继续运行自身,我们看看木马svchost.exe都干了什么?这个木马也是易语言编写
从字符串就可以大体看出干了什么,再结合代码就显而易见了,语言描述行为如下:
1、木马会伪装成声卡驱动添加启动下实现自启动,software\microsoft\windows\CurrentVersion\Run\声卡驱动
2、联网从http://url.yexu.net.cn/111/kg.inf获取配置信息。
3、如果上面配置返回1(现在返回41),则执行创建一个Dielfl.bat批处理,写入DEL C:\*.*/S/F/Q,并执行。
4、执行完以后强制重启电脑。
如果木马作者把线上配置改为1,中毒中将执行C盘格盘,这就是木马的所有行为。
查杀方法(尽快删除,防止被格盘):
木马已经提交到360的@kissy 和腾讯管家@willJ 那了,木马可以直接杀掉,大家可以直接用360或者管家查杀。
手动可以结束进程,删除C:\WINDOWS\system32\Do\svchost.exe文件,删除启动项即可。
想对那些涂怀不轨的*渣说,你在吾爱破解这样的技术论坛玩这种小伎俩,这里都是活跃在互联网安全界的精英,这点小动作就是找死,奉劝那些蠢蠢欲动的人,尽快走入正途,不要误入歧途!
最后感谢大家一直以来对吾爱破解论坛的支持和维护,论坛安全离不开大家监督,任何违法违规的行为都逃不过大家的眼睛和管理的审查,对待此类*渣论坛绝不手软,坚决处罚到底!
我想知道H大用的是什么安全软件 易语言的花指令是在系统设置上进行设置
又注册一个马甲Youbigye来喷,放木马还装,继续ban! 大H 威武 那家伙又注册一个{:301_1004:} 清者自清支持H大 苏紫方璇 发表于 2015-10-16 12:49
易语言的花指令是在系统设置上进行设置
应该就是这个,明显不可能是se加壳出来的,他后面编译就没花,并且木马代码也被去掉了。 很牛逼!! 从他的语气就可以看出一些事情,还是支持H大 给你顶一个 继续ban他id 占个前排{:1_921:}