RSS订阅追求最高效、最简单的解决方案

你的位置：首页 » 解决方案分享 » 正文

盗号案例三——某计费软件导致

选择字号：超大标准技术小哥发布于2015年06月03日属于解决方案分享栏目 1个评论 4966人浏览

现象：客户机盗号，进程多出一个wowexec.exe进程

原因：某计费软件释放出导致

分析过程

1、部署安装win764位行为抓取软件，设置好共享目录。收取每天客户机的日志

2、等到客户机出现盗号时候，有玩家反馈是某某机器盗号的，那么提取当天日志

3、日志关键性截图

嘟嘟牛1.png

System Idle.exe启动powershell.exe执行了一条下载的命令，将http://www.zzhuatai.com:10009/calc.exe 下载到C盘下名字为wmplayer.exe，这个就是一个非常危险的操作了。

嘟嘟牛2.png

经过进一步的分析发现进程结构大致的顺序为UDO.EXE创建extenstion.exe，extenstion.exe创建System Idle.exe，System Idle.exe创建powershell.exe完成木马下载执行操作

完成盗号操作，释放假的钓鱼窗口出来。这个盗号的木马样本与上次破解版净网先锋盗号的样本一模一样。

梳理到这里大致就清楚了，看来win764位用的人多了，这个windowspowershell组件利用的也就多了，如果有同类问题的不妨删除这个组件试试

win764位的话在C:\windows\system32\windowspowershell，C:\windows\syswow64\windowspowershell

猜你喜欢

最新发布的文章

最新评论