两起举报的程序,一个是“百度网盘不限速工具”,而另一个则是“全网VIP解析助手”(视频网站VIP工具),而举报的原因全都是——自己莫名其妙的就购买了多张iTunes电子礼品卡。
以其中“百度网盘不限速工具”为例,现在依然可以在搜索引擎中轻松搜索到相关信息:
俗话说“做戏要做足”,这个木马还是挺专业的。如果你下载回来之后直接运行这个破解工具,其实是什么都不会发生的——因为他会查找百度网盘的进程:
如果找不到百度网盘进程,就直接退出了,什么都不做。
而一旦存在有BaiduNetdisk.exe的进程,便会发起一个HTTP请求确认版本。
然后会顺手patch一下BaiduNetdisk.exe的进程,但是不是真的能加速就不得而知了。不过这也不是重点,重点是patch完之后,它会继续释放了几个真正的木马文件:
最后再把这个创建的SysteCsrss.exe跑起来
释放的三个程序,其实是一个比较典型的白利用远控木马。首先,SystemCsrss.exe带有“北京世纪奥通科技有限公司”的签名。
而改程序启动的时候,导入表会自动加载那个libcef.dll:
其次,这个libcef.dll实际上也只是一个Loader。一旦执行,回去加载并执行最后释放的那个名为data.lnk的ShellCode
运行起来之后,其实就是个普通的远控了——先是从一个服务器上拿到了远控上线域名:
之后就是远控上线,接受黑客控制:
最终,在受害人机器上展示出的现象就是在用户离开的时候,黑客利用远控程序向受害人机器下达命令,创建了一个新的管理员权限用户,再利用微软自带的远程桌面功能登录受害人机器(这样方便黑客使用图形界面操纵受害人机器):
并在完全不知情的情况下使用受害人账户购买了多张iTunes电子礼品卡:
实际上该程序早已被360识别并查杀了:
而用户之所以中招,是因为用户有时太相信所谓的辅助工具被杀毒软件“误报”是正常现象,所以选择了自行将木马程序加入了白名单中:
借此机会提供广大用户,360不会随便误报所谓的“外挂”或“辅助工具”,报毒一定有原因,为了自己的财产安全,请一定要相信安全软件的“判断力”。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
