简单分析DNF希望收费捆绑木马的XX挂.

qing、 · 发表于 2010-9-23 18:57

昨天是DNF觉醒捆绑木马, 现在就是DNF希望了，无意中看到他的挂，觉得特别奇怪，就到了
他的贴吧里问，知道了，貌似有木马，那我们来简单的分析下。

UPX的壳，我们就来脱壳先，好了。没了！~

看字符，觉得没有问题，第一的INI，是配置，第二的，输入法？难道真的无毒？
我们下去看看。

当你登陆成功了之后，怎么觉得有问题了，调用了几个EXE？难道错觉？
一拉下，真的！~ 来了。

发现了网站，原来的希望不是？WWW。DNFYILIAN。COM？怎么是
00406DE6 B8 579D5300 mov eax,DNF希望0.00539D57 ; http://zy646419059.h303.2xidc.cn/
这个网站可疑！

00406E05 B8 799D5300 mov eax,DNF希望0.00539D79 ; C:\Documents and Settings\Administrator\Local Settings\Temp\CC.dll

打开网站后，并且下载CC。DLL。。怀疑是DNF盗号的！
然后调用CFasp。ASP。知道是什么了吧？
和BBSJ。TXT？难道是记录DNF帐号密码？
DNF。TMP。启动了假的DNF程序？

原来是盗号的程序，接下来不分析了。都知道是什么了吧？
诶，现在的人，做个收费挂还学人盗号。鄙视之。

woshiyandi · 发表于 2010-9-23 19:14

的确很鄙视收费还加载盗号木马的。
那还是人吗？
感谢qing的分析~

dll · 发表于 2010-9-23 19:26

最最鄙视盗号的畜生。

ghostsyx · 发表于 2010-9-24 11:05

BS，收费都还盗号。。

huang1515 · 发表于 2010-10-7 07:27

收费都还盗号

zsl01 · 发表于 2010-10-7 17:53

收费还盗号，一举二得啊。无耻

daydream · 发表于 2011-5-31 15:28

看看还能不能看到分析

yun0980 · 发表于 2011-7-11 08:38

看看就是搞不懂

sscnc · 发表于 2011-7-11 11:01

楼主貌似被禁言了！！！

momocogong · 发表于 2011-11-3 14:46

收费还盗号？？？

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 简单分析DNF希望收费捆绑木马的XX挂.

免费评分