简单分析DNF希望收费捆绑木马的XX挂.
昨天是DNF觉醒捆绑木马, 现在就是DNF希望了,无意中看到他的挂,觉得特别奇怪,就到了他的贴吧里问,知道了,貌似有木马,那我们来简单的分析下。
UPX的壳 ,我们就来脱壳先,好了。没了!~
看字符,觉得没有问题,第一的INI,是配置,第二的,输入法? 难道真的无毒?
我们下去看看。
当你登陆成功了之后,怎么觉得有问题了,调用了几个EXE? 难道错觉?
一拉下,真的!~ 来了。
发现了网站,原来的希望不是?WWW。DNFYILIAN。COM?怎么是
00406DE6 B8 579D5300 mov eax,DNF希望0.00539D57 ; http://zy646419059.h303.2xidc.cn/
这个网站可疑!
00406E05 B8 799D5300 mov eax,DNF希望0.00539D79 ; C:\Documents and Settings\Administrator\Local Settings\Temp\CC.dll
打开网站后,并且下载CC。DLL。。怀疑是DNF盗号的!
然后调用CFasp。ASP。 知道是什么了吧?
和BBSJ。TXT?难道是记录DNF帐号密码?
DNF。TMP。启动了假的DNF程序?
原来是盗号的程序,接下来不分析了。都知道是什么了吧?
诶,现在的人,做个收费挂还学人盗号。鄙视之。 的确很鄙视收费还加载盗号木马的。
那还是人吗?
感谢qing的分析~ 最最鄙视盗号的畜生。 BS,收费都还盗号。。 收费都还盗号 收费还盗号,一举二得啊。无耻 看看还能不能看到分析 看看 就是搞不懂 楼主貌似被禁言了!!! 收费还盗号???
页:
[1]
2