mirai病毒样本分析

最新推荐文章于 2024-04-04 09:50:11 发布
最新推荐文章于 2024-04-04 09:50:11 发布
阅读量2.1k 收藏 3
点赞数
分类专栏: 恶意样本分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37431937/article/details/96866938
版权

发这篇的时候已经是在此岗位工作接近尾声等待交接离职,交接过程中发现自己刚开始做支撑时候遇到驻场人员发现态势感知检a测到有mirai样本,样本跑不起来,驻场人员对网络需要排查确定甲方设备安全。通过发回的样本进行分析,提供驻场人员相关建议,简单的做了一点分析记录,直接分享出来。具体的事件已经记不大清楚。

样本信息:

PEID查看样本为UPX加壳程序。

                                                                       图1.1样本查壳

对样本脱壳后信息如下:

文件名称

b89_upack.exe

文件大小

88k

文件类型

Win32.EXE

MD5

339E5B6DBDC0E36D07EE5B665284B72A

SHA1

297377EB5FB956A3C641C80C7BBD51133327C9EF

                                                                        表1.1样本信息

分析环境及工具

环境:Windows7x86

工具:PEID IDA ollydbg 火绒剑  

初步分析

初步分析样本通过sc.exe修改服务状态,连接恶意网址下载恶意文档及程序,并调用系统cmd.exe ping.exe等系统工具执行ping命令,以及设置服务操作,基本判断为恶意文档。

Virustotal平台行为检测49/69

                                                            图3.1VT扫描信息

程序执行流程

恶意行为分析

  1. 分析监控

火绒剑行为监测,程序多次调用cmd.exe,sc.exe系统程序。执行ping sc start等命令,最后cmd命令del完成自我删除。

开启服务函数。

动态分析

修改注册表项。

设置DNS,NameServer 223.5.5.5 ,微步查询为恶意。

通过访问http://223.25.247.240/ok/ups.html   获取恶意文件下载拼接IP:66.117.6.174

传入66.117.6.174拼接下载地址: 66.117.6.174/update.txt、返回下载文件url,及放置路径

通过访问http://66.117.6.174/wpd.jpg下载后缀为.jpg文件,查看格式为PE文件,并修改文件名为msinfo.exe。查找文件名有一下发现相关信息。

通过访问http://66.117.6.174/myl.html下载执行脚本。

删除自身函数

释放的Msinfo.exe依赖wpcap.dll,packet.dll链接库。运行Msinfo.exe

相关行为:

Msinfo.exe外联网络请求

利用cmd sc net 命令配置环境。

Msinfo.exe释放csrs.exe

运行csrs.exe

Csrs.exe外联Url返回运行操作系统。

http://watson.microsoft.com/StageOne/msinfo_exe/1_0_0_9/5c2616a9/KERNELBASE_dll/6_1_7601_17514/4ce7b8f0/efffffff/0000b760.htm?LCID=2052&OS=6.1.7601.2.00010100.1.0.48.17514&SM=VMware_%20Inc.&SPN=VMware%20Virtual%20Platform&BV=6.00&MID=32B7C46A-C1FC-40AB-AB4C-4180EFD8ED51

 

 

释放文件在浏览器浏览记录目录下

排查

网络相关监控

http://35.182.171.137/l.txt

45.58.135.106/xpxmr.dat,

45.58.135.106/ok/wpd.html

66.117.6.174/wpdmd5.txt,

66.117.6.174/wpdtest.dat,

66.117.6.174/ver.txt,  

66.117.6.174/shellver.txt

66.117.6.174/csrs.exe,

NET_connect       23.128.64.134:443,   

NET_send,       23.128.64.134:443,   

NET_send,       23.128.64.134:443,     

NET_send,       23.128.64.134:443,     

NET_send,       23.128.64.134:443, 

51.143.22.239:80

NET_connect

222.127.62.*

254

NET_connect

222.127.*.*      

245

NET_connect

222.127.100.*

39

主机排查:

主机检查

检查注册表项将其删除

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\msinfo_RASAPI32\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\msinfo_RASMANCS\

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advance

查找C:\Users\orinsh\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\26CZWWRY\目录下csrs[1].exe,删除。

查找C:\Users\orinsh\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\26CZWWRY\目录下csrs[1].exe,删除。

 

此类恶意样本多为记录对用户上网习惯推送广告等劫持ie相关行为,因本样本无法正常运行服务启动函数导致样本无法正常执行,只通过静态分析收集相关信息,做初步判断。

 

 

 


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 

PwnGuo
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
物联网病毒原理-Mirai源码分析
安全杂货铺
01-09 1万+
1.概述 Mirai病毒是物联网病毒的鼻祖,由于其具备了所有僵尸网络病毒的基本功能(爆破、C&C连接、DDoS攻击),后来的许多物联网病毒都是基于Mirai源码进行更改的。所以对研究Mirai的源码可以让我们对物联网病毒有个全面的了解。 项目地址:https://github.com/jgamblin/Mirai-Source-Code 2.攻击流程 1.黑客在黑客服务器上运行load...
Mirai的搭建和部分源码分析
12-24
第一次搭建Mirai的过程,这里把PPT给大家学习,ppt有些地方是超链接所以不播放排版可能会有点乱
mirai-api-http:Mirai HTTP API(控制台)插件
04-14
Mirai 是一个在全平台下运行,提供 QQ Android 和 TIM PC 协议支持的高效率机器人框架 这个项目的名字来源于 作品的 以为代表的创作与活动 图标以及形象由画师绘制 mirai-api-http Mirai HTTP API (console) plugin Mirai-API-http插件 提供HTTP API供所有语言使用mirai 安装mirai-api-http 使用 安装mirai-api-http MCL 支持自动更新插件,支持设置插件更新频道等功能 .\mcl --update-package net.mamoe:mirai-api-http --channel stable --type plugin 手动安装mirai-api-http 运行 Mirai Console 生成plugins文件夹 从 Releases 下载jar并将其放入plugins
蠕虫木马Mirai
m0_49025459的博客
02-07 1736
概述概述Mirai病毒是物联网病毒的鼻祖,能够感染在 ARC 处理器上运行的智能设备,将其转变为远程控制的机器人或“僵尸”并组成网络。这种机器人网络称为僵尸网络,通常用于发动 DDoS 攻击。由于Mirai病毒具备了所有僵尸网络病毒的基本功能(爆破、C&C连接、DDoS攻击),后来的许多物联网病毒都是基于Mirai源码进行更改的。攻击流程Mirai 扫描互联网上运行于 ARC 处理器上的 IoT 设备。这种处理器运行 Linux 操作系统的精简版本。
探索YuQ-Mirai:一款强大且灵活的Mirai机器人框架
最新发布
gitblog_00097的博客
04-04 350
探索YuQ-Mirai:一款强大且灵活的Mirai机器人框架 项目地址:https://gitcode.com/YuQWorks/YuQ-Mirai 项目简介 YuQ-Mirai 是一个由YuQWorks开发的基于Java的Mirai API实现,旨在为开发者提供更高效、易用和可扩展的框架,用于构建QQ机器人类应用。如果你对自动化聊天、群管理或者QQ相关的API集成有兴趣,那么YuQ-Mirai将...
Wannacry勒索病毒样本分析
谈成(C/C++)
05-14 1万+
一、病毒简介: WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播 。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。最新统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。勒索病毒是自熊猫烧香以来影响力最大的病毒之一。WannaCry勒索病毒全球大爆发,至少15
病毒分析--mirai物联网病毒
热门推荐
YuZhiHui_No1的专栏
11-01 1万+
物联网僵尸网络病毒Mirai”在上月参与发起了针对KrebOnSecurity安全站点的大规模分布式DDoS攻击,新一类僵尸网络从各种容易被感染的物联网设备中发起,流量巨大防不胜防。“Mirai”可以高效扫描物联网系统设备,感染采用出厂密码设置或弱密码加密的脆弱物联网设备,被病毒感染后,设备成为僵尸网络机器人后在黑客命令下发动高强度僵尸网络攻击。本文针对Mirai源码进行详细分析。 1. 
G.O.A.T!最靠谱的Mirai僵尸病毒编译教程
01-06
最近在学习Mirai病毒环境的搭建,看了网络上几乎所有的关于Mirai病毒编译的教程,学到了很多,最后也成功把环境搭建起来。我渐渐地发现,对于这个病毒的编译,每个教程都有一点小小的瑕疵,所以单看一个教程是很难...
Mirai变种Masuta源码
03-11
“Masuta”是2018年1月份被研究人员发现的一款新型Mirai恶意软件变体,其开发人员Mirai Okiru还曾创建过肆虐全球的Satori僵尸网络。不过,Masuta的代码更加彰显了“专业开发”的属性,无论是其附加功能,还是程序员...
java-mirai-qrcode-0.1
05-29
java mirai-2.15 qq机器人扫码登录或springboot项目进行扫码登录
Mirai僵尸网络恶意程序分析和监测数据研究
01-20
近年来,随着物联网的兴起,以僵尸网络为代表的恶意程序正在逐渐向物联网领域渗透,已经...然后对通过主动和被动方式获取的监测数据展开分析,并在此基础上,对Mirai僵尸网络恶意程序的监测发现和应对建议进行了讨论。
Mirai使用教程-使用Python进行开发
Wings
05-28 4422
更好的阅读体验请访问个人博客 本文使用 graia-application-mirai 包进行开发. 前言 准备工作 mirai-api-http 安装 配置 Python Hello World! 关闭程序 后记 前言 还是想用python写(因为我没搭jvm环境, 甚至连个IDE也没下). 官方的SDK推荐中有Python的Graia Framework, 还找到了一个叫 kuriyama的. Graia Framework 最近有更新, 就先试试Graia Framework吧.
深度解析:恶意软件“Mirai”源代码的结构及其对策
weixin_34280237的博客
07-11 3343
2016年9月份以来,发生了多起大规模DDoS攻击事件。本文针对这些攻击事件中使用的恶意软件“Mirai”的源代码进行分析,进一步介绍Bot(客户端)的结构,以及其应对方法。 一、 Mirai Botnet是什么 2016年9月13日晚,美国著名安全记者Brian Krebs氏的网站“Krebs on Security”被DDoS攻击,mirai Bot...
物联网设备感染Mirai病毒发起的DDoS攻击
喵小林菌的博客
03-24 3449
物联网设备感染Mirai病毒发起的DDoS攻击真实案例Mirai病毒发动攻击的过程DDoS攻击补充 真实案例 大概2016年10月21日11点-17点(UTC时间),美国Dyn DNS 服务遭受DDoS攻击事件,近半个美国陷入断网。 此次大规模DDoS攻击是又物联网设备所组成的僵尸网络所发动的,这个设备感染了Mirai恶意软件。 Dyn是DNS SaaS提供商,其核心业务就是为其用户管理托管DNS服务。DDoS攻击严重影响其DNS业务,导致客户网站无法访问。因其服务众多公司,造成的损害如星火燎原一般,影响
一例感染型病毒样本分析
好好学习,天天向上
04-28 1284
这个样本是会释放两个dll和一个驱动模块,通过感染USB设备中exe文件传播,会向C&C下载PE执行,通过rookit关闭常用的杀软,是一例典型的感染型病毒,有一定的学习价值。
KimSuky病毒样本分析
weixin_43781139的博客
03-16 504
0x00 前言准备 kimsuky APT组织(又名Mystery Baby, Baby Coin, Smoke Screen, BabyShark, Cobra Venom) ,该组织一直针对于韩国的智囊团,政府组织,新闻组织,大学教授等等进行活动.并且该组织拥有windows平台的攻击能力,载荷便捷,阶段繁多。并且该组织十分活跃.其载荷有带有漏洞的hwp文件,恶意宏文件,释放载荷的PE文件等。 实验环境:win10 分析工具:火绒剑 IDA x32dbg die procmon ...
获取病毒样本的途径
把梦想放飞在蓝色的天空里...
11-21 3876
相信很多朋友对于病毒逆向分析感兴趣,除了可以提高逆向能力之外,还提高与病毒的抗战能力,提高个人战斗力,但有些朋友可能不知道如何获取病毒样本,毕竟是业余玩家,不像杀软公司有很大的病毒监测能力和设备,监测捕获平台,还有那个传说中的云安全!因此这里分享一点个人获取病毒样本的途径,其实主要也就是几个网站而已。 1.论坛收集 在一些安全站点,比如卡饭病毒样本版块: http://bbs.kafan.c
shell脚本样本_一起“深空失忆”僵尸网络样本分析
weixin_39606244的博客
12-20 163
近期通过蜜罐监测到Mirai僵尸网络的最新网络活动,发现该僵尸网络病毒近期异常活跃,同时针对多个地区发起网络攻击。Pandorum—《深空失忆》讲述了一群宇航员在飞船上沉睡了多年,突然醒来后完全没有记忆,并遭遇不明外星生物攻击的故事。Mirai悄无声息的活跃起来。该病毒是一个主要专注扫描SSH、并且带有网络爆破行为的僵尸网络,Mirai僵尸网络于2016年8月由恶意软件研究小组Malwa...
悬镜安全丨德国电信断网事件详细分析mirai僵尸网络的新变种和旧主控
Anprou的博客
11-30 2706
新变种的感染和植入过程已经被安全社区广泛讨论,例如下面的这篇文章,这里不再赘述,读者可以自行扩展阅读。
什么是Mirai病毒
12-05
Mirai病毒是一种针对物联网设备的恶意软件,它最初于2016年出现。它通过利用物联网设备的弱点,例如默认密码和未修补的漏洞,来感染设备并将其变成一个僵尸网络的一部分。这些僵尸设备可以被用来发起DDoS攻击,使得...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值