现象:客户机盗号,进程多出一个wowexec.exe进程
原因:某计费软件释放出导致
分析过程
1、部署安装win764位行为抓取软件,设置好共享目录。收取每天客户机的日志
2、等到客户机出现盗号时候,有玩家反馈是某某机器盗号的,那么提取当天日志
3、日志关键性截图
System Idle.exe启动powershell.exe执行了一条下载的命令,将http://www.zzhuatai.com:10009/calc.exe 下载到C盘下名字为wmplayer.exe,这个就是一个非常危险的操作了。
经过进一步的分析发现进程结构大致的顺序为UDO.EXE创建extenstion.exe,extenstion.exe创建System Idle.exe,System Idle.exe创建powershell.exe完成木马下载执行操作
完成盗号操作,释放假的钓鱼窗口出来。这个盗号的木马样本与上次破解版净网先锋盗号的样本一模一样。
梳理到这里大致就清楚了,看来win764位用的人多了,这个windowspowershell组件利用的也就多了,如果有同类问题的不妨删除这个组件试试
win764位的话在C:\windows\system32\windowspowershell,C:\windows\syswow64\windowspowershell
2022年01月09日
2021年08月21日
2021年05月11日
2021年05月11日
2021年05月11日