最近很多朋友来问我下面这个话题是不是真的,让我做个分析。刚好今天有空跟大家一起聊一聊这个事情。
首先声明以:
下内容并不针对发帖网友,也不存在质疑或者水贴的目的,单纯的从数十起案例的技术分析、以及对目前网吧木马盗号问题的理性、客观分析!
【话题】
关于死性不改最新漏洞病毒分析··0912更新 - 综合技术讨论大区 - 死性不改BBS - Powered by Discuz!
http://www.clxp.net.cn/thread-5136-1-1.html
【我个人的看法】
从技术角度分析
1、一般开超级都是有技术人员在现场的情况,就算验证码被填进去,图谋不轨的人想种后门程序传文件过去1是会有文件传送记录、2是要去执行该程序、3鼠标操作下载,从目前使用习惯与技术分析来看ttvnc默认不具默认自动备执行程序的能力,也就是说要挂个服务进去必须得执行程序!当天下午我故意挂了一个ttvnc程序守着,过一会有有人传一个文件到我机器启动的文件夹!这个操作是可以明显看的到的。
再看发帖人中的分析
2、“成系统服务servicename后启动在syswow64下生成的smss.exe文件,然后停止然后smss.exe会在Windows\system32下生成svchos.exe,svchos.exe会在临时目录生成一个svcho.vbs,内容如下“
木马程序先注册服务在下载smss.exe,再去生成svchos.exe,再生成VBS去下木马,这个从逻辑上分析比较少见。木马程序通常会把自己洗的很干净,操作越少越好,如果一开始挂了服务那么是由svchost.exe -k servername这种方式启动完成可以交由svchost.exe来创建VBS更新木马,这样手段是比较多见的。操作越多漏洞越多,故意曝光出来是给自己找麻烦。当然了我没看到现场,这些就是自己瞎猜的!一切还是以现场实际情况为准。
(这里也插个话题,svchost.exe进程命令行后面加-K XXXXX,这个XXXX就是服务名称,CPU占用高的话就看是哪个服务,分分钟定位出来。)
3、把这个归结到ttvnc上面可能存在的风险就是ttvnc程序开超级会去访问url,个别地区运营商会往url中返回页面插入js并指向高危的挂马网页,可以轻轻松松不需要执行、没有文件传送记录、不用鼠标操作完成运行vbs下载servername服务的程序,并注册服务完成后续操作,案例可以参考11对战平台挂马问题解析。可是ttvnc早就已经是https的访问,所以这个排除了。
4、ttvnc验证码为什么是www.ttvnc.com呢?因为死性不改的EZOPT工具会去外网获取IP,然后验证码应该是机器名+IP的方式。但是如果IP获取失败了应该要写入ttvnc注册表键值为255.255.255.255,但是不知道因为什么原因没写、或者写的成乱码,或者字符不够四位!这里记住,如果验证码的字符串不足4位默认打开ttvnc就是www.ttvnc.com
5、因为这个问题最初爆发的时候客户机出现异常广告声音问题排查思路分享,发帖日期是8月10日白天发表,排查过程是9号晚上重庆加盟商大鹏哥的技术提供的远程,我映像很深刻,因为那天是农历七夕情人节,我约了妹子的、真的约了!!!。结果。。。。。。。(跑题了),那天据反馈的用户非常多,客服技术跟我对称时候也有非死性不改系统,有没有ttvnc工具我没留意,也许有、也许没有。
6、不要觉得不同计费、不通软件会爆发同一个问题觉得奇怪,因为现在给软件做广告提供技术支持的团队屈指可数,可能一个团队开发出来的增值技术产品给5、6款软件在使用,看似没共性,背后有能力操控几十万终端的大有人在。这不是危言耸听,而是近年来数据的积累做出的判断。
7、我对死性不改系统仍有信心,用ttvnc的初衷是让大家更愉快、方便的装系统。并非其他原因,希望大家理性看待这件事情。
以上乃个人逻辑观点,非常希望大家如果有复现环境的时候可以找我远程看下。也希望搞这个的老板看到了以后不要偷偷摸摸搞这种事,做增值就正大光明做好了。网吧这滩浑水,也不差你这一脚。及时被发现也最多是广告程序,瞎猜忌投诉多了都是以为是木马,这样只会让你的产品越来越难搞。
2022年01月09日
2021年08月21日
2021年05月11日
2021年05月11日
2021年05月11日