RSS订阅追求最高效、最简单的解决方案
你的位置:首页 » 问题分享 » 正文

盗号案例二——破解版净网先锋导致

选择字号: 超大 标准 顺网小哥 发布于2015年05月27日 属于 问题分享 栏目  1个评论 4769人浏览

现象:客户机盗号,进程多出一个wowexec.exe进程

原因:破解版净网先锋导致导致

分析过程

1、部署安装win764位行为抓取软件,设置好共享目录。收取每天客户机的日志

2、等到客户机出现盗号时候,有玩家反馈是某某机器盗号的,那么提取当天日志

3、日志关键性截图

2.png


CMD将一段信息写入到VBS里面,并且下载了yejibbs.exe程序,这个就是一个非常危险的操作了。通过日志查看是IE浏览器创建出来的CMD,然后再执行的vbs脚本。IE肯定是不会主动去做这个事的,推测是用户浏览了什么页面后加载了恶意的js脚本”迫使默认浏览器执行了这个操作“,换句话说即使没有IE,你默认浏览器设置的F1的话也会去执行的!然后再网上查看是否能看到IE浏览器的页面记录


1.png


我们在前几秒的时候看到万象的MainPro.exe做了一个退弹的动作,给默认浏览器发了一个参数地址,地址是"ad6201.dnsorg.net",这个是比较可疑的,我们现在来抓下这个ad6201.dnsorg.net的封包


QQ截图20150527100821.png

QQ截图20150522131453.png


http://image.cnit.net.cn/2015/05/201505224782_7932.png 



文件: C:\Users\Administrator\Desktop\MainPro.exe

大小: 454144 字节

修改时间: 2011年9月27日, 0:00:00

MD5: E14FF24ABA5169A7A537F59254902A27

SHA1: C067F6949CA371EEA5E5EFFF82FD0242C052DCEE

CRC32: 330C883D


梳理到这里的话眉目就有点清楚了,从我们提过来的数据查看MainPro.exe做的弹窗目标地址中的封包数据跟木马下载路径的地址是一模一样的,连端口号都没错!这就不是巧合这么简单了!经过一番咨询后用户承认是使用的破解版净网先锋,这样问题就自然清楚了。


备注:这里说几句题外话,做这些盗版软件、某某软件都是在有利益的前提下去做的,他们不会闲的一天天蛋疼来免费服务大家的。所以说免费的东西往往付出的代价更大!

标签:盗号木马净网先锋破解

广告位出售

已有1位网友发表了看法:

1#顺网小哥  2015-05-27 11:49:56 回复该评论
盗号问题专项讨论群 460721720

发表评论

必填

选填

选填

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

右侧2016一起努力
最新发布的文章
最新评论