BanID:TheYuCheng【发布辅助捆绑勒索木马】
BanID:TheYuCheng【发布辅助捆绑勒索木马】下午收到版主@L4Nce 反馈,TheYuCheng刚发布的程序有问题,就查看分析了一下,发现程序捆绑了勒索软件,将放木马作者帐号进行封号处理,如果有下载使用过这个程序的同学千万不要关机,先杀木马再关机,原因后面分析说.
一:木马行为
辅助和木马都是易语言写的,逻辑很简单,先判断是否有zhudongfangyu.exe进程(判断是否有360启动),如果没有这个进程就释放木马到%temp%\pdf_confidential.pdf.pif这里。
然后会处理UAC,再把释放的木马添加到启动项中,所以木马会随着下次机器启动的时候才发作。
辅助运行和木马释放截图:
中毒后的截图:
我们通过释放的勒索木马发现这个木马作者是个惯犯,已经多次作案,国内外已经有多个详细分析,就不写勒索感染细节,有兴趣的同学可以自行分析一下,也可以直接搜索查看一些报道分析:
https://www.pcrisk.com/removal-guides/11958-wantmoney-ransomware
https://www.toutiao.com/i6485619692684706317/
木马下载地址以及2个相关文件MD5:
hxxps://pan.baidu.com/s/1sl5cI7N
C0F510B6CF65D8196C8D750AB196702F
3F60F20715766CD0ABD8967FB9258CBF
二:查杀木马
1、直接删除“%temp%\pdf_confidential.pdf.pif”这个木马文件,由于后缀是pif,windows上可能不会显示后缀,直接打开%temp%目录,然后找到pdf_confidential.pdf这个显示直接删除就可以了。
2、删除木马启动项即可。
简单的办法直接装个杀毒软件全盘杀一下就行了,比如360或者QQ管家。
注意:虽然帖子刚发布后很快就被审查封号了,但应该还是有会员看到了,由于木马是重启发作,所以如果有同学运行过这个程序,千万别重启电脑,先杀毒!!!先杀毒!!!先杀毒!!!重要的事情说三遍。
三:后话
虽然论坛有很多高手,但我们希望提高所有人的安全意识和识别能力,看上述我的分析是不是很简单,简单的代码和行为分析就能判断出木马,我想这你也可以做到,不如来试试。
大家对于新注册会员发布的内容请多加注意,有能力分析出问题的可以帮助我们尽快举报,大家合力保卫论坛安全。
想对那些涂怀不轨的人说,你在吾爱破解这样的技术论坛玩这种小伎俩,分分钟就给你剥皮把肉看得清清楚楚了,这里都是活跃在互联网安全界的精英,任何小动作就是自讨苦吃,奉劝那些蠢蠢欲动的人,尽快走入正途,不要误入歧途!
最后感谢大家一直以来对吾爱破解论坛的支持和维护,论坛安全离不开大家监督,任何违法违规的行为都逃不过大家的眼睛和管理的审查,对待此类*渣论坛绝不手软,坚决处罚到底!
说实话 玩个游戏 还要搞些外挂辅助什么有意思么 那就不是你玩游戏 而是游戏玩你了
说到底还是一个侥幸心理在作祟
幸亏老子开了影子,这让的王八蛋生儿子没屁眼 @oicq @客服小Z @burl @神哥网络 @xue123chao @小毛豆 @Zack12357 @864414452 @ab8689608 @awp8008 @小白峰峰 @Zack12357 @小白峰峰 @kkeraa @9981难 @karsh @了科技 @邓功涛 @旧橙梦 @olol462 @zaizaianan @xiaofeng55baby @阿木100 @吊名想三天 @夜陌 同学们可能都是看过这个帖子的,请注意下。 2个小时前我还在收拾东西(准备明天的四六级考试{:1_906:})这么短的时间内,管理员就对这些帖子做出了处理,还手动艾特可能看过帖子的同学,可见还是很用心的。
前排支持管理~
{:1_927:}{:1_927:} So一般过不了360的检测 我一般都不会用的 这种小人手里揣着点小技术,整天出来祸害他人{:17_1061:} 前排支持管理~这种人就该ban 前排支持大大