RSS订阅追求最高效、最简单的解决方案
你的位置:首页 » 问题分享 » 正文

盗号案例一——盗版万象计费导致

选择字号: 超大 标准 顺网小哥 发布于2015年05月21日 属于 问题分享 栏目  6个评论 5720人浏览

现象:客户机盗号,进程多出一个msiexec.exe进程

原因:盗版万象计费导致

分析过程

1、部署安装win764位行为抓取软件,设置好共享目录。收取每天客户机的日志

2、等到客户机出现盗号时候,有玩家反馈是某某机器盗号的,那么提取当天日志

3、日志关键性截图

QQ截图20150518174949.png


CMD将一段信息写入到VBS里面,并且下载了logo.exe程序,这个就是一个非常危险的操作了。通过日志查看是F1浏览器创建出来的CMD,然后再执行的vbs脚本。F1肯定是不会主动去做这个事的,推测是用户浏览了什么页面后加载了恶意的js脚本”迫使默认浏览器执行了这个操作“,换句话说及时没有F1,你默认浏览器设置的IE的话也会去执行的!然后再网上查看是否能看到F1浏览器的页面记录


QQ截图20150519124555.png


我们在前几秒的时候看到万象的clsmn.exe做了一个退弹的动作,给默认浏览器发了一个参数地址,地址是"www.netbars.net",这个是比较可疑的,我们现在来抓下这个www.netbars.net的封包


QQ截图20150519125127.png

QQ截图20150522131453.png


http://image.cnit.net.cn/2015/05/201505224782_7932.png 


盗版信息Server.exe信息
大小: 3588096 字节
文件版本: 2.4.1.14
修改时间: 2013年5月10日, 17:39:19
MD5: 7CA5010793337544B41BE9782D703FE9
SHA1: 8B3779469B1579556EB756215661093756865D89
CRC32: FCBD97F0

盗版信息Clsmn.exe信息
大小: 1021440 字节
文件版本: 3.0.3.201
修改时间: 2009年12月3日, 17:53:12
MD5: 429FE271743DF937A3A41569BF1F2FFA
SHA1: D8109C80FC9EB5442B0D8DB416EF78B22ACFF69A
CRC32: 81162794


梳理到这里的话眉目就有点清楚了,从我们提过来的数据查看Clsmn.exe做的弹窗目标地址中的封包数据跟木马下载路径的地址是一模一样的,连端口号都没错!这就不是巧合这么简单了!经过一番咨询后用户承认是使用的盗版万象计费服务端,这样问题就自然清楚了。


备注:这里说几句题外话,做这些盗版软件、某某软件都是在有利益的前提下去做的,他们不会闲的一天天蛋疼来免费服务大家的。所以说免费的东西往往付出的代价更大!

标签:盗号木马万象计费弹窗广告

广告位出售

已有6位网友发表了看法:

1#请叫我肖皇后  2015-05-19 14:26:51 回复该评论
用的什么抓包工具
1#顺网小哥  2015-05-19 14:33:13 回复该评论
你说的是第一个图的内容,还是第二个图的?
1#请叫我肖皇后  2015-05-21 16:14:49 回复该评论
最后一张图的工具
1#顺网小哥  2015-05-22 10:18:45 回复该评论
那个工具你百度网页抓包助手,第一个就是!
谢谢您分享
3#顺网小哥  2015-05-27 11:50:08 回复该评论
盗号问题专项讨论群 460721720

发表评论

必填

选填

选填

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

右侧2016一起努力
最新发布的文章
最新评论
  • 访客

    访客

    小哥,这个图标排列工具,刷新

  • 访客

    访客

    小哥,这个图标排列工具,刷新

  • 访客

    访客

    链接那两个冒号错了

  • 愤怒的萝卜

    愤怒的萝卜

    链接地址无法正常跳转

  • 访客

    访客

    有提示的!