官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - 52pojie.cn»网站 【 病毒分析 】 『病毒分析区』 篡改网页的老流氓
12345678下一页
返回列表 发新帖
查看: 16110|回复: 70
收起左侧

[PC样本分析] 篡改网页的老流氓

  [复制链接]
ghostsang
ghostsang 发表于 2020-4-15 13:45
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 ghostsang 于 2020-4-15 14:21 编辑

早上开机,发现火绒日志出现了几个恶意网址拦截.就分析了下

火绒拦截

火绒拦截
看了下时间, 还每隔10分钟来一次.

svchost

svchost
在火绒剑监听里,看到不止网址拦截, 还存在记录文件的情况

流氓exe

流氓exe

写入的文件

写入的文件

写入的文件

写入的文件
删除还显示dll正在被运行

dll

dll
看了下几个的签名,所属公司如下(跑跑跳跳??):

软件所属

软件所属 image.png image.png
拖入IDA 查看了下,涉及url:

URL

URL image.png
访问了下网址,

智能云

智能云
修改浏览器列表的数组,被base64加密了 :

浏览器数组

浏览器数组

写入服务注册表,用svchost进行启动
image.png
然后找到了注册表 :

注册表

注册表
现在删除注册表和exe文件,火绒也没有报拦截的日志了(拦截的时间是之前的,发布时间是1点多..).
image.png

iocs:
url:
znshuru.com
znyshurufa.com
MD5:
0F4BCF148AB19D2693508C15A7DB7752
DE33FD8E8589E8BCDF9DD98E41AE2622
FC1D9C65C78798C19670CF767455A7C4
DC22DCB337EBDC8850B8F97230DCCA37
7E647BB093A305779E11E48D0A52F70E
7FBD10F03F7081E3EFE54EF3E0A6B90A

免费评分

参与人数 26吾爱币 +29 热心值 +21 收起 理由
pewros + 1 + 1 补丁桌面流氓中的老流氓
Candy丶才子 + 1 + 1 用心讨论,共获提升!
dearhouse + 1 + 1 用心讨论,共获提升!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
nikita. + 1 + 1 热心回复!
自在逍遥 + 1 热心回复!
juocoe + 1 我很赞同!
Coptis_china + 1 谢谢@Thanks!
tanghengvip + 1 + 1 分析彻底,清理才彻底
神选肠胃 + 1 + 1 用心讨论,共获提升!
stopa4 + 1 + 1 谢谢@Thanks!
小Q主人 + 1 + 1 谢谢@Thanks!
云梦墨溪 + 1 + 1 用心讨论,共获提升!
我来白嫖 + 1 + 1 我很赞同!
凡声 + 1 我很赞同!
温柔的一哥 + 1 + 1 我很赞同!
叽歪 + 1 热心回复!
罗罗诺亚na + 1 + 1 纯粹膜拜大神
unbeaten + 1 + 1 谢谢@Thanks!
wuai6757620 + 1 国产的流氓行为已经不是一天两天了 国家完全不管!
culprit + 1 + 1 谢谢@Thanks!
anylin + 1 谢谢@Thanks!
exluku + 1 + 1 热心回复!
ws东哥 + 1 谢谢@Thanks!
sola_咸鱼 + 1 + 1 大神厉害,还有是篡改
Ldfd + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

封羽
封羽 发表于 2020-4-15 13:49
流痞,这在你们圈内人看来。不过是大佬而已,但是在我们圈外人看来,这就是神
【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复 支持 1

举报

YuGuo3363
YuGuo3363 发表于 2020-4-15 13:52
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
布丁桌面老流氓
如何升级?如何获得积分?积分对应解释说明!
回复 支持 1

举报

vvs
vvs 发表于 2020-4-15 14:19
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
学习了.学习学习如何使用工具来pass老流氓行为~!感谢分享.
呼吁大家发布原创作品添加吾爱破解论坛标识!
回复 支持

举报

tzxinqing
tzxinqing 发表于 2020-4-15 14:42
大佬,我也受到类似的困扰,如图,请教大佬怎么排查,谢谢。
TIM截图20200415144054.jpg
如何快速判断一个文件是否为病毒!
回复 支持

举报

imhacker
imhacker 发表于 2020-4-15 14:48
这类购物助手首选chrome商店的,要安全得多。
回复 支持

举报

不爱everyone
不爱everyone 发表于 2020-4-15 14:50
布丁跑跑的我也中过,本体是一个什么输入法卸载程序(不知道哪里来的),腾讯不报,后来安了卡巴斯基,被卡巴干掉了
回复 支持

举报

ghostsang
 楼主| ghostsang 发表于 2020-4-15 14:56
tzxinqing 发表于 2020-4-15 14:42
大佬,我也受到类似的困扰,如图,请教大佬怎么排查,谢谢。

查看注册表\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost 排查下是否有有关的注册表项
回复 支持

举报

就是他
就是他 发表于 2020-4-15 15:00
支持
来一波
回复 支持

举报

lynxtang
lynxtang 发表于 2020-4-15 15:04
跑跑跳跳真是活泼得一批
回复 支持

举报

下一页 »
12345678下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2025-3-24 20:40

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表