勒索病毒与大家分享tpmagentservice.dll和TrustedHostServeces.exe

最新推荐文章于 2024-08-24 10:13:24 发布
最新推荐文章于 2024-08-24 10:13:24 发布
阅读量1.3w 收藏 4
点赞数
文章标签: tpmagentservice.dll TrustedHostServeces.exe spoolsv.exe svchost.exe Doublepulsar
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wohaorende/article/details/79181373
版权
该博客详细介绍了勒索病毒如何利用tpmagentservice.dll和TrustedHostServeces.exe这两个组件,通过svchost.exe和spoolsv.exe系统进程进行恶意注入。病毒活动主要集中在C:windowsSecureBootThemesMicrosoft及C:windowsSystem32SecureBootThemes目录下,并创建svchost.xml和spoolsv.xml配置文件,以及stage2.txt日志文件。
摘要由CSDN通过智能技术生成

有大约56个DLL文件。通过svchost.exe和spoolsv.exe,注入到系统进程。

会在

C:\windows\SecureBootThemes\Microsoft

C:\windows\System32\SecureBootThemes

俩文件夹下面。

通常有两个配置文件。svchost.xml和spoolsv.xml,日志文件为stage2.txt

这是第一个svchost.xml


<t:config xmlns:t="urn:trch" id="0f38f55b6a88feccfb846d3d10ab4687e652e63e" configversion="2.2.0.0" name="Eternalblue" version="2.2.0" schemaversion="2.1.0">
<t:inputparameters>
<t:parameter name="DaveProxyPort" description="DAVE Core/Proxy Hookup connection port" type="TcpPort" format="Scalar" hidden="true" valid="true">
<t:default>0</t:default>
<t:value>0</t:value>
</t:parameter>
<t:parameter name="NetworkTimeout" description="Timeout for blocking network calls (in seconds). Use -1 for no timeout." type="S16" format="Scalar" valid="true">
<t:default>60</t:default>
<t:value>60</t:value>
</t:parameter>
<t:parameter name="TargetIp" description="Target IP Address" type="IPv4" format="Scalar" valid="true">
<t:value>%s</t:value>
</t:parameter>
<t:parameter name="TargetPort" description="Port used by the SMB service for exploit connection" type="TcpPort" format="Scalar" valid="true">
<t:default>445</t:default>
<t:value>445</t:value>
</t:parameter>
<t:parameter name="VerifyTarget" description="Validate the SMB string from target against the target selected before exploitation." type="Boolean" format="Scalar" valid="true">
<t:default>true</t:default>
<t:value>true</t:value>
</t:parameter>
<t:parameter name="VerifyBackdoor" description="Validate the presence of the DOUBLE PULSAR backdoor before throwing. This option must be enabled for multiple exploit attempts." type="Boolean" format="Scalar" valid="true">
<t:default>true</t:default>
<t:value>true</t:value>
</t:parameter>
<t:parameter name="MaxExploitAttempts" description="Number of times to attempt the exploit and groom. Disabled for XP/2K3." type="U32" format="Scalar" valid="true">
<t:default>3</t:default>
<t:value>3</t:value>
</t:parameter>
<t:parameter name="GroomAllocations" description="Number of large SMBv2 buffers (Vista+) or SessionSetup allocations (XK/2K3) to do." type="U32" format="Scalar" valid="true">
<t:default>12</t:default>
<t:value>12</t:value>
</t:parameter>
<t:parameter name="ShellcodeBuffer" description="Shellcode buffer in hex (hint: use 'F:<FILENAME>' to load from file)" type="Buffer" format="Scalar" hidden="true" required="false"></t:parameter>
<t:paramchoice name="Target" description="Operati
最低0.47元/天 解锁文章
wohaorende
关注
Hadoop多版本 hadoop.dll和winutils.exe 下载
04-20
支持如下版本的Hadoop hadoop-2.6.0 hadoop-2.6.3 hadoop-2.6.4 hadoop-2.7.1 hadoop-2.8.1 hadoop-2.8.3 hadoop-3.0.0
安全事件响应观察报告及其变种
m0_73803866的博客
10-30 499
绿盟 绿盟科技安全事件响应观察报告河南省国民经济和社会发展第十四个五年规划和2035年远景目标纲要 2021
高通Secure Boot调试流程记录
King_Guo的博客
07-07 6820
参考文档KBA-161109181347-how_to_enable_secure_boot_step_by_step.pdf。 1.新建临时目录tmp:    mkdir tmp    cd tmp 2.复制opensslroot.cfg和v3.ext到tmp目录,这两个文件在后面的命令中要用到:    cp ~/work/M1503-6.0.1-01610/LINUX/android
Doublepulsar 检测脚本使用教程
最新发布
gitblog_00574的博客
08-24 672
Doublepulsar 检测脚本使用教程 doublepulsar-detection-script项目地址:https://gitcode.com/gh_mirrors/dou/doublepulsar-detection-script 项目介绍 Doublepulsar 检测脚本是一个用于扫描网络中受 DOUBLEPULSAR 植入物感染的 Windows 系统的 Python 脚本。该项...
变种WannaCry
swordheart的博客
01-23 967
变种WannaCry 1、原理说明 1、病毒概述 “永恒之蓝”勒索变种比较多,这次在医院传播的变种,其主要目的是为了挖矿。病毒作者是一个很有想法的人,他利用了“永恒之蓝”漏洞,但并不施行勒索,而是后台偷偷挖矿,让中毒主机默默为黑客长期赚外快。 由于可通过“永恒之蓝”漏洞,在局域网内实现快速的横向传播,故感染量巨大。 挖矿是一种非常占用系统资源的行为,故中毒主机可能出现卡顿现象。另外,利用“永恒之蓝”漏洞进行攻击的时候,可能会出现蓝屏现象。 2、病毒分析 (1)spoolsv.exe是母体文
10000小时=1万小时
爱干点啥干点儿啥
05-21 813
java常见笔试、面试题目深度剖析 ssh居然是三大框架 jbpm3去掉。 1高端与深入 2注重英文的学习。(英文是第一手的培训资料)
与木马avwlamn.dll作战
uselessman的专栏
09-11 2363
常在河边走,哪能不湿鞋;瓦罐不离井边破,电脑总有中毒时。话说前几日突然中了毒,任务管理器里面一堆乱七八糟的进程,正常模式下解决不了,进安全模式,升级病毒库,扫毒,杀毒,搞定——当然事情还没结束。之后总是隐隐约约得觉得系统还是有些不正常,就干脆把网线给拔了。用U盘从别人机器上面搞来最新的病毒库,升级,再看看果然就是监控到了avwlamn.dll,并且无法删除。该病毒的编号为:Trojan.P
sqlservr.exe和sqlos.dll
12-03
2、安拆到SqlServer服务的时辰提示启动服务得利(提示重试的时辰),那边就是环节啦,下载本文的两个附件,里面是SP4(2005.90.5000.0)版本的sqlservr.exe和sqlos.dll。 sqlservr64.rar> sqlservr32.rar> 3、进进...
sqlservr.exe和sqlos.dll 64和32位
10-22
安装到SqlServer服务的时候提示启动服务失败,这里就是关键啦,下载本文的两个附件,里面是SP4(2005.90.5000.0)版本的sqlservr.exe和sqlos.dll。32位下载sqlservr32.rar,64位下载sqlservr64.rar。
各个版本Hadoop,hadoop.dll以及winutils.exe文件下载大合集
05-31
1. 确保下载的`hadoop.dll`和`winutils.exe`与你的Hadoop版本兼容。 2. 配置环境变量,包括`HADOOP_HOME`和`PATH`,以便系统能找到这些文件。 3. 对于`winutils.exe`,确保设置了正确的HDFS根目录 (`hdfs dfs -...
hadoop.dll及winutils.exe 2.8.1和2.6.5版本
11-16
本人编译了两个版本,亲...【hadoop-2.8.1版本】winutils.exe和hadoop.dll-x64和x86通用,解压后放在hadoop-2.8.1\bin下。 【hadoop-2.6.5版本】winutils.exe和hadoop.dll-x64和x86通用,解压后放在hadoop-2.6.5\bin下
卡巴斯基实验室勒索病毒文件解密工具Rannoh Decryptor 1.9.6.1
05-13
卡巴斯基实验室勒索病毒文件解密工具Rannoh Decryptor 1.9.6.1
svchost进程的浅析
逆枫 -- C++/Qt工程师、创业者
07-30 3074
今天我就以为个人的能力去研究一下,一个重要的进程svchost,本人水平极其有限,而svchost又是微软的一个非常重要的进程,很强大,所以题目就叫svchost进程的浅析,如果 有高手,可以后面跟贴补充~~~不甚感激! 科普一下: 写过一些病毒和木马的人,也许一定不会对svchost进程感到陌生,中过木马的人也许也看到过这个进程,没错,svchost进程,曾几何时一度风靡病毒界,很
利用NSA的MS17-010漏洞利用工具攻击Windows7
小晓晓晓林的博客
02-07 1831
0x01 Download NSA工具包 NSA工具包下载 攻击脚本需要32位的Python2.6环境,所以攻击机还需以下两个环境: python-2.6.6.msi、pywin32-221.win32-py2.6.exe 0x02 修改NSA工具配置文件 修改C:\Users\Administrator\Desktop\shadowbroker-master\windows\fb.py文件 注释掉第72行代码#addplugins(fb, "ListeningPost", LP_DIR, .
方式程0day MS17-010远程溢出漏洞测试
十年磨一剑,霜刃未曾试!
06-02 1万+
最近那个WannaCry勒索病毒搞的沸沸扬扬,据了解该病毒利用了方程式泄露的0day MS17-010(永恒之蓝)进行传播。 据说这个漏洞是支持winxp-win2012,测试一下这个漏洞到底如何。 一、环境: 靶机:win7 IP:192.168.4.247 攻击机:win2003 IP:192.168.4.16 反弹shell: kali IP:192.168.4.15 在攻击机中需要p...
简单方法删除spoolsv.exe病毒
新罗月夜
06-15 1万+
         无意间利用“恶意软件清理助手”检查系统的时候,发现竟然感染了spoolsv病毒,居然无法清理,总是有残余文件未被清理,于是上google搜,结果发现这个病毒的删除方法有很多种,尝试了几种后发现效果不是很好,而且有的方法竟然巨麻烦。没有办法只好自己想办法了, 结果被我发现一个简单的方法,问题解决 :)        首先在被感染的及其上会发现多处几个目录
Svchost.exe病毒的简单处理
热门推荐
xiacsd的专栏
10-20 2万+
Svchost.exe占用内存过大解决   1.当发现Svchost.exe不在%systemroot%\System32目录中的,可以安全删除,同时在注册表中查找对应的注册项删除掉。 或用tasklist/svc命令查看svchost.exe 右边的服务是不是“暂缺”,是的话为中毒了。   2.Svchost.exe在%systemroot%\System32目录,说明Svch
sql无法打开键: UNKNOWN\Components\8922126C77B064F4683FF04644421772\4BE06D23D119
爱干点啥干点儿啥
05-21 1万+
修复方法: 1.使用组合键 Win+R 打开“运行”对话框,输入 regedit 并回车(可能需要管理员权限) 2.找到这个键值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData 3.右击“UserData” 选择“权限(P)...”   4.点“完全控制” 5.确定。
mbr,gpt,uefi,secureboot装机实战
yazhouren的专栏
06-24 990
mbr最古老的分区方式,后来有了gpt 最近bios的方式改了,有了uefi还有uefi的一个feature secureboot Windows8要求必须开启secureboot,所有的驱动要经过这个的签名认证! 但我奇怪的是ubuntu系统下的驱动也要须要签名吗?起码nvidia的驱动貌似需要!难道不是进入系统后,os完全接管硬件了吗?secure boot还在起作用吗? 2017.6
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值