吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 15930|回复: 70
收起左侧

[PC样本分析] 篡改网页的老流氓

  [复制链接]
ghostsang 发表于 2020-4-15 13:45
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 ghostsang 于 2020-4-15 14:21 编辑

早上开机,发现火绒日志出现了几个恶意网址拦截.就分析了下

火绒拦截

火绒拦截

看了下时间, 还每隔10分钟来一次.

svchost

svchost

在火绒剑监听里,看到不止网址拦截, 还存在记录文件的情况

流氓exe

流氓exe

写入的文件

写入的文件

写入的文件

写入的文件

删除还显示dll正在被运行

dll

dll

看了下几个的签名,所属公司如下(跑跑跳跳??):

软件所属

软件所属
image.png image.png
拖入IDA 查看了下,涉及url:

URL

URL
image.png
访问了下网址,

智能云

智能云

修改浏览器列表的数组,被base64加密了 :

浏览器数组

浏览器数组


写入服务注册表,用svchost进行启动
image.png
然后找到了注册表 :

注册表

注册表

现在删除注册表和exe文件,火绒也没有报拦截的日志了(拦截的时间是之前的,发布时间是1点多..).
image.png

iocs:
url:
znshuru.com
znyshurufa.com
MD5:
0F4BCF148AB19D2693508C15A7DB7752
DE33FD8E8589E8BCDF9DD98E41AE2622
FC1D9C65C78798C19670CF767455A7C4
DC22DCB337EBDC8850B8F97230DCCA37
7E647BB093A305779E11E48D0A52F70E
7FBD10F03F7081E3EFE54EF3E0A6B90A

免费评分

参与人数 26吾爱币 +29 热心值 +21 收起 理由
pewros + 1 + 1 补丁桌面流氓中的老流氓
Candy丶才子 + 1 + 1 用心讨论,共获提升!
dearhouse + 1 + 1 用心讨论,共获提升!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
nikita. + 1 + 1 热心回复!
自在逍遥 + 1 热心回复!
juocoe + 1 我很赞同!
Coptis_china + 1 谢谢@Thanks!
tanghengvip + 1 + 1 分析彻底,清理才彻底
神选肠胃 + 1 + 1 用心讨论,共获提升!
stopa4 + 1 + 1 谢谢@Thanks!
小Q主人 + 1 + 1 谢谢@Thanks!
云梦墨溪 + 1 + 1 用心讨论,共获提升!
我来白嫖 + 1 + 1 我很赞同!
凡声 + 1 我很赞同!
温柔的一哥 + 1 + 1 我很赞同!
叽歪 + 1 热心回复!
罗罗诺亚na + 1 + 1 纯粹膜拜大神
unbeaten + 1 + 1 谢谢@Thanks!
wuai6757620 + 1 国产的流氓行为已经不是一天两天了 国家完全不管!
culprit + 1 + 1 谢谢@Thanks!
anylin + 1 谢谢@Thanks!
exluku + 1 + 1 热心回复!
ws东哥 + 1 谢谢@Thanks!
sola_咸鱼 + 1 + 1 大神厉害,还有是篡改
Ldfd + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

封羽 发表于 2020-4-15 13:49
流痞,这在你们圈内人看来。不过是大佬而已,但是在我们圈外人看来,这就是神
YuGuo3363 发表于 2020-4-15 13:52
vvs 发表于 2020-4-15 14:19
学习了.学习学习如何使用工具来pass老流氓行为~!感谢分享.
tzxinqing 发表于 2020-4-15 14:42
大佬,我也受到类似的困扰,如图,请教大佬怎么排查,谢谢。
TIM截图20200415144054.jpg
imhacker 发表于 2020-4-15 14:48
这类购物助手首选chrome商店的,要安全得多。
不爱everyone 发表于 2020-4-15 14:50
布丁跑跑的我也中过,本体是一个什么输入法卸载程序(不知道哪里来的),腾讯不报,后来安了卡巴斯基,被卡巴干掉了
 楼主| ghostsang 发表于 2020-4-15 14:56
tzxinqing 发表于 2020-4-15 14:42
大佬,我也受到类似的困扰,如图,请教大佬怎么排查,谢谢。

查看注册表\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost 排查下是否有有关的注册表项
就是他 发表于 2020-4-15 15:00
支持
来一波
lynxtang 发表于 2020-4-15 15:04
跑跑跳跳真是活泼得一批
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 03:25

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表