变声器【第四弹】后门?!
本帖最后由 Tom_Kenny 于 2019-1-9 17:52 编辑写在前面:
关于变声器没法变的疑惑请看变声器【第五弹】https://www.52pojie.cn/thread-851057-1-1.html
1.这次不是教程,而是对于变声器第一弹的说明。
2.那么请大家期待下一次的变声器的分享,时间不长,也是我用过最好用的变声器。变声器也会告一段落了。
2.感谢吾爱各位大佬的厚爱,才让我看到该软件问题所在。
3.此次属于病毒分析,以及关于知识的普及,我明白应该发在病毒分析区,但是还是那句话,我对这个板块有感情,大大觉得不妥请帮我搬运下,爱你么么哒。
4.第一弹虽然有后门,但是下了并且使用的同学也不用担心,我把后门的地址都去访问了下,发现作者似乎倒闭了,网站什么的应该都被干掉了。
5.虽然是这样,还是建议大家不要使用了,或者在沙箱里玩一下就好。其次,链接不再补发。
6.只有病毒才说自己不是病毒,只有木马才说自己不是木马,牢记!
7.补充一点,第一弹的破解帖子已经删除,毕竟有安全隐患,但是我发贴的原因是分享破解经历,请大家明白我的用心。我之后的教程也会更加细心去分析。
——————————————————————————————————————————————————————
接下来是正题:
1. 首先认识下一种木马:暗崟虫。
这个烦人的东西简单来说是在后台偷偷执行远程代码从而达到获取权限、修改主页等一系列活动。(似乎我的主页被某60安全卫士锁死好多年了哈哈哈)
它自从2013年来被写入很多软件,尤其是工具类的。原来变声器作者:森林精品,就植入了这么一段东西,并且在他所编写的诸多工具都有哦,我列出来大家一定记得观察自己有没有使用,并提高警惕!工具列表:超级变声器、万能变声器、超级老板键、屏幕亮度调节器、光速启动、PDF转WORD超级转换器等。
且,他似乎都用一个模板诶,大家下次见到一定提高注意哦。
2.举例分析
就用之前变声器的例子好了。
首先加载恶意模块“SuperSoundCapture32.dll”,并调用其导出函数“来设置全局消息钩子。这一操作会使得“SuperSoundCapture32.dll”被系统注入到每一个窗口进程中,简单来说,他会后台偷偷加载东西。加载了什么呢?他会确认木马文件是否存在,不存在的话自己会联网下载,这就是问什么会有文本框提示你必须联网。(不会有人真的认为变声器需要联网才能用把?emmmmmm)下面图是哪里提示你需要联网,是它在调用程序看看是不是真的联网。而且会尝试去访问百度来确认是联网的!是不是很恶心?
如果它确认了确实下载了,他就开始表演了。木马是由一段LoadPE代码和一个头部信息被摧毁的恶意dll模块组成,其功能主要是加载该模块运行。LoadPE代码根据导入表重构IAT表、修复重定位,再简单校验OEP处4字节代码之后就开始从OEP执行恶意dll模块代码了。程序首次运行会写注册表项SOFTWARE\\Classes\\CLSID\\{2B53F0A7-3238-4b4d-8582E-53618739C90}\LockData,此时并不展开行为。当程序再次运行并且发现LockData中的日期和当前日期不同时,便展开行为。过程中还有一些进行环境检测,检测虚拟机、常用分析工具。
3.后果:
如果被感染了,经常性的,自己网页的主页会被修改。当然被修改主页其实也没有关系。但是,该木马恐怖的地方在于你一旦授予权限后,那么后台的操作你都不知道,这个才是最恐怖的事情。所以,还是那句话,病毒才不会说自己不是病毒,木马才说自己不是木马。
爱你们。{:301_975:} lyrong 发表于 2019-1-7 18:49
有研究过和用过,楼主的好像更强大,但是个人觉得硬件的变声器比软件的变声效果要更加,但是花费也更高,谢 ...
楼主的有后门哦,一定记得不要轻易相信说自己没毒的软件,emmmm citygun 发表于 2019-4-24 16:18
想到QQ群邮件经常受到xx变声器。。。。。。
群邮件的那个变声器可能是软件内携带木马,也有可能是xss的一个入侵,通过盗取你的cookie信息然后盗取你的邮箱,传播他们的东西。所以一定记得警惕,而且不要打开,一旦打开你的账号就有可能被别人登录。 有研究过和用过,楼主的好像更强大,但是个人觉得硬件的变声器比软件的变声效果要更加,但是花费也更高,谢谢分享! 谢谢分享 好像从第一到第四都看过了.. 很不错的文章。
有兴趣的同学也可以搜索一下360安全团队对暗崟虫后门的分析 不错哦楼主 很不错,感谢提醒 好可怕啊这些人。。。:@ 我下过,但安装失败,这样会被病毒影响吗?我主页经常被各种软件调戏,都习以为常了,其他浏览器懒得管,平时用火狐,把快捷方式删了就好了 火绒检查得出吗