吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 91141|回复: 145
收起左侧

BanID:我来看看来哦 【发布软件捆绑远控木马】

    [复制链接]
LCG 发表于 2015-6-26 11:07
1.png

BanID:我来看看来哦 【发布软件捆绑远控木马】

最先由巡查@nicholsix 在论坛巡逻中发现此人发布软件增加弹窗广告给予处理,之后由大H分析发现远不止广告这么简单,程序还捆绑了远控木马,简要分析如下

此人发布了两个主程序,程序运行会释放一个exe,又新的exe来释放远控dll并添加服务启动:

圈圈赞软件.exe(MD5: 4496B80A44843C00F8BCCCFCAC2D7CB5和MD5: 4CE4DFDC9990E76073A25AA302E01444)

%SystemRoot%\services.exe(MD5: 91D82157C3CB764B01390E61FE375FDE)

%SystemRoot%\system32\6t*****.dll或者%SystemRoot%\SysWOW64\6t*****.dll(dll文件名随机MD5: A755DDCCBE1ADD64D7A6CC142269E128)

程序会判断各种杀软进行是否运行,运行的话就弹出错提示并结束杀软进程,可惜这木马水平太次,压根是不可能结束掉的:

3.png 2.png

运行后会把木马释放在system32下(64位是SysWOW64),木马是随机名称,可以从服务中查看到:

4.png

这个dll远控木马会连接到118.123.19.76这个IP上

5.png

如何查杀:
最简单的办法就用360、金山和QQ管家等杀软扫描处理下即可,都可以杀掉这个小木马,也可以用PCHunter这样的ark工具进行手动杀毒,把服务停止后删除DLL即可。

想对那些涂怀不轨的*渣说,你在吾爱破解这样的技术论坛玩这种小伎俩,这里都是活跃在互联网安全界的精英,这点小动作就是找死,奉劝那些蠢蠢欲动的人,尽快走入正途,不要误入歧途!

最后感谢大家一直以来对吾爱破解论坛的支持和维护,论坛安全离不开大家监督,任何违法违规的行为都逃不过大家的眼睛和管理的审查,对待此类*渣论坛绝不手软,坚决处罚到底!


点评

请公布他的个人信息!  发表于 2015-6-26 20:41
这些人太自作聪明,干得漂亮  发表于 2015-6-26 12:27
软件我用了 ,影子系统,随他怎么搞 等下我就重启  发表于 2015-6-26 11:28

免费评分

参与人数 90吾爱币 +1 热心值 +90 收起 理由
初梦初笑 + 1 + 1 我很赞同!
qaue945 + 1 明显是来找死的,啊哈哈
MK153 + 1 封他封他,
小R + 1 感谢,大牛
lwfgotech + 1 我很赞同!
流体石头 + 1 我很赞同!
diqing + 1 用心讨论,共获提升!
xxx87953 + 1 我很赞同!
xiaochongge + 1 感觉不应该啊,不能被别人利用了啊。。。还.
miss柴 + 1 我很赞同!
珍惜ID + 1 这样的垃圾,嘿嘿嘿嘿,我就不说了
焚香不见仙 + 1 我很赞同!
眼眸ggg + 1 已经处理,感谢您对吾爱破解论坛的支持!
qq412158094 + 1 我很赞同!
Abstinent + 1 我很赞同!
Senynce + 1 我很赞同!
Nosrepa + 1 我很赞同!
moonshade + 1 谢谢@Thanks!
回一忆 + 1 我很赞同!
11109465 + 1 我很赞同!
q312133039 + 1 我很赞同!
201235865 + 1 我很赞同!
xiaofei + 1 我很赞同!
KGG + 1 这个*渣肯定还有别的号
法则力量 + 1 热心回复!
L17 + 1 我很赞同!
1263468262 + 1 我很赞同!
hack-one + 1 做得好
yyp123 + 1 热心回复!
a623939400 + 1 很不错哦
阿阔 + 1 我很赞同!
典当丶半生宿命 + 1 我很赞同!
笑红尘235 + 1 我很赞同!
aiccybb + 1 我很赞同!
gsl27 + 1 我很赞同!
clear + 1 我很赞同!
wufusen + 1 就是要查出这一种人.危害太大了
talisam + 1 我很赞同!
信奉 + 1 我很赞同!
邱诺 + 1 已答复!
FXW@大神 + 1 已答复!
gamingnow + 1 我很赞同!
dych1688 + 1 谢谢@Thanks!
点点de高贵 + 1 我很赞同!
rucimosheng21 + 1 我很赞同!
swl + 1 我很赞同!
57178900 + 1 我很赞同!
cyane + 1 我很赞同!
kai3009 + 1 我很赞同!
icfly + 1 谢谢@Thanks!
sundongic + 1 我很赞同!
俺是设计尸 + 1 热心回复!
别让酒醉了心 + 1 谢谢@Thanks!
duanbin_109 + 1 我很赞同!
钱多多丶 + 1 我很赞同!
arces + 1 我很赞同!
Fate.k + 1 我很赞同!
苦逼人生 + 1 这个必须得赞!
1493446997 + 1 我很赞同!
XhyEax + 1 是啊
4451467611 + 1 我很赞同!
895515845 + 1 谢谢@Thanks!
大时代 + 1 我很赞同!
YAMAHA724 + 1 我很赞同!
gongjian1212 + 1 我很赞同!
kanjiaroot + 1 老大是用IDA PRO分析的?
罗子俊 + 1 鼓励转贴优秀软件安全工具和文档!
ab8689608 + 1 我很赞同!
llwgaochanggong + 1 我很赞同!
399396225 + 1 我很赞同!
屌丝男 + 1 我很赞同!
毛线没有团团 + 1 我很赞同!
gw594162249 + 1 支持你的工作!!!!!!
三望的实 + 1 靠!前两天还有个2345的推广恶意代码,本来.
悲伤 + 1 我建议直接封他IP和ID,不让他注册
小范 + 1 热心回复!
Signal_over + 1 我很赞同!
47741906 + 1 我就是被捆绑害的电脑崩溃
小帥 + 1 笑而不语
pj_520 + 1 像这种人就该办掉。
a1206077543 + 1 我很赞同!
htlds + 1 谢谢@Thanks!
1220981007 + 1 感觉,下载论坛有点危险了.....
吓老子一跳 + 1 最恨在这论坛刷小聪明的
wanttobeno + 1 还是明文的
皇帝 + 1 我很赞同!
lzlax + 1 他肯定还有小号
残、破军 + 1 我很赞同!
萋小磊 + 1 我很赞同!
风吹屁屁凉 + 1 感谢保护吾爱破解论坛。

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Hmily 发表于 2015-6-26 11:39
搜了一下论坛,看到不少人发这个“圈圈赞”软件,基本都有木马,找到个发源码的,看起来都不是所谓的原创,都是拿现成代码修改的,类似下面的:

【刷手机QQ圈圈赞99+接单版】源码-永久免费共享版
http://www.52pojie.cn/thread-368603-1-1.html

然后就翻了一下,果然不出所料,这个里面带有的Android.ec模块(MD5: E69B99D71570CB8A21456E6B03232B59)捆绑了木马,可以用分离PE的工具就能分离出来,只要用这个模块编译应该都会带有木马,不知道是谁先干出来的。

免费评分

参与人数 3热心值 +3 收起 理由
sheldon_wxd + 1 學習了!
gamingnow + 1 我很赞同!
风吹屁屁凉 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.

查看全部评分

vigers 发表于 2015-6-26 11:57
Sp4ce 发表于 2015-6-26 11:12
nicholsix 发表于 2015-6-26 11:12
安全防范最重要
QQ截图20150626111237.jpg
bailei 发表于 2015-6-26 11:15
轩少 发表于 2015-6-26 11:12
唉,服务器也不用好点的,03服务器。。

以前不都是03么  稳定一些吧  现在阿里云都没有03的了
2217936322 发表于 2015-6-26 11:15
晚了 这种渣渣小学生 就不回来了 砍了最简单了
Sp4ce 发表于 2015-6-26 11:16
bailei 发表于 2015-6-26 11:15
以前不都是03么  稳定一些吧  现在阿里云都没有03的了

但是03微软好像都不维护了
bailei 发表于 2015-6-26 11:16
轩少 发表于 2015-6-26 11:16
但是03微软好像都不维护了

嗯 就是不支持维护了  但是用服务器的话感觉08的不习惯
Sp4ce 发表于 2015-6-26 11:17
bailei 发表于 2015-6-26 11:16
嗯 就是不支持维护了  但是用服务器的话感觉08的不习惯

用惯就好,08、12才是现在主流了
流水爱 发表于 2015-6-26 11:22
{:1_930:}对于习惯03的菜鸟、情何以堪
我爱破解求福利 发表于 2015-6-26 11:23
版主大大威武,顶!!!!!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-15 12:55

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表