RSS订阅追求最高效、最简单的解决方案
你的位置:首页 » 问题分享 » 正文

盗号案例三——某计费软件导致

选择字号: 超大 标准 技术小哥 发布于2015年06月03日 属于 问题分享 栏目  1个评论 4651人浏览

现象:客户机盗号,进程多出一个wowexec.exe进程

原因:某计费软件释放出导致

分析过程

1、部署安装win764位行为抓取软件,设置好共享目录。收取每天客户机的日志

2、等到客户机出现盗号时候,有玩家反馈是某某机器盗号的,那么提取当天日志

3、日志关键性截图

嘟嘟牛1.png


System Idle.exe启动powershell.exe执行了一条下载的命令,将http://www.zzhuatai.com:10009/calc.exe 下载到C盘下名字为wmplayer.exe,这个就是一个非常危险的操作了。


嘟嘟牛2.png


经过进一步的分析发现进程结构大致的顺序为UDO.EXE创建extenstion.exe,extenstion.exe创建System Idle.exe,System Idle.exe创建powershell.exe完成木马下载执行操作


嘟嘟牛3.png

嘟嘟牛.png



完成盗号操作,释放假的钓鱼窗口出来。这个盗号的木马样本与上次破解版净网先锋盗号的样本一模一样。


梳理到这里大致就清楚了,看来win764位用的人多了,这个windowspowershell组件利用的也就多了,如果有同类问题的不妨删除这个组件试试

win764位的话在C:\windows\system32\windowspowershell,C:\windows\syswow64\windowspowershell

打赏

标签:盗号木马QQ

1
右侧2016一起努力
最新发布的文章
最新评论

公告

十年相伴 值得信赖 需要定制开发、购买加速器可以联系QQ1368762345