开发者社区> 玄学酱> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

简介: 本文讲的是远控木马中的VIP:盗刷网购账户购买虚拟礼品卡,为了省钱,很多人会尝试各种各样的方法免费获取网盘和视频网站的VIP权限。正因为有这种需求,各种所谓的“网盘不限速神器”或是“VIP助手”也就应运而生了。
+关注继续查看
本文讲的是远控木马中的VIP:盗刷网购账户购买虚拟礼品卡为了省钱,很多人会尝试各种各样的方法免费获取网盘和视频网站的VIP权限。正因为有这种需求,各种所谓的“网盘不限速神器”或是“VIP助手”也就应运而生了。但这个工具那个助手的真就靠谱么?360互联网安全中心最近就连续接到了两起关于此类程序的举报。

两起举报的程序,一个是“百度网盘不限速工具”,而另一个则是“全网VIP解析助手”(视频网站VIP工具),而举报的原因全都是——自己莫名其妙的就购买了多张iTunes电子礼品卡。

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

以其中“百度网盘不限速工具”为例,现在依然可以在搜索引擎中轻松搜索到相关信息:

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

俗话说“做戏要做足”,这个木马还是挺专业的。如果你下载回来之后直接运行这个破解工具,其实是什么都不会发生的——因为他会查找百度网盘的进程:

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

如果找不到百度网盘进程,就直接退出了,什么都不做。

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

而一旦存在有BaiduNetdisk.exe的进程,便会发起一个HTTP请求确认版本。

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

然后会顺手patch一下BaiduNetdisk.exe的进程,但是不是真的能加速就不得而知了。不过这也不是重点,重点是patch完之后,它会继续释放了几个真正的木马文件:

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

最后再把这个创建的SysteCsrss.exe跑起来

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

释放的三个程序,其实是一个比较典型的白利用远控木马。首先,SystemCsrss.exe带有“北京世纪奥通科技有限公司”的签名。

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

而改程序启动的时候,导入表会自动加载那个libcef.dll:

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

其次,这个libcef.dll实际上也只是一个Loader。一旦执行,回去加载并执行最后释放的那个名为data.lnk的ShellCode

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

运行起来之后,其实就是个普通的远控了——先是从一个服务器上拿到了远控上线域名:

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

之后就是远控上线,接受黑客控制:

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

最终,在受害人机器上展示出的现象就是在用户离开的时候,黑客利用远控程序向受害人机器下达命令,创建了一个新的管理员权限用户,再利用微软自带的远程桌面功能登录受害人机器(这样方便黑客使用图形界面操纵受害人机器):

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

并在完全不知情的情况下使用受害人账户购买了多张iTunes电子礼品卡:

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

实际上该程序早已被360识别并查杀了:

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

而用户之所以中招,是因为用户有时太相信所谓的辅助工具被杀毒软件“误报”是正常现象,所以选择了自行将木马程序加入了白名单中:

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡

借此机会提供广大用户,360不会随便误报所谓的“外挂”或“辅助工具”,报毒一定有原因,为了自己的财产安全,请一定要相信安全软件的“判断力”。




原文发布时间为:2017年5月20日
本文作者:xiaohui 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
企业选择SIP电话账号VoIP的八大理由
"VoIP"在全球是风靡一时。有时,当谈到通信技术为人们带来的好处,VoIP赢得颇多赞誉。越来越多的企业在将企业的电话系统由原来传统的PBX迁移到VoIP的IPPBX或IP Centrex,传统的PBX生产量逐渐减少,网络电话日渐成为企业通信的主流。
31 0
Java Web——jQuery中的过滤器与第一组函数(val、text、attr)
Java Web——jQuery中的过滤器与第一组函数(val、text、attr)
15 0
python web开发 网络编程 TCP/IP UDP协议
python web开发 网络编程 TCP/IP UDP协议
78 0
通过iotop与performance_schema.threads查看mysql的IO使用情况
通过iotop与performance_schema.threads查看mysql的IO使用情况
2030 0
【VIP视频网站项目二】搭建爱奇艺优酷腾讯视频官网首页轮播图效果及实现原理分析
版权声明:本文为博主原创文章,未经博主允许不得转载。更多学习资料请访问我爱科技论坛:www.52tech.tech https://blog.csdn.net/m0_37981569/article/details/82623992 ...
1698 0
阿里云虚拟主机:怎么查看FTP帐号、密码、IP?怎么查看数据库账号、地址和密码等?
本文介绍阿里云虚拟主机:怎么查看FTP帐号、密码、IP?怎么查看数据库账号、地址和密码等?购买前请先:领取阿里云幸运券,有很多优惠,下文中有领取链接。 购买建议多买几年,年数越多优惠越多。
10894 0
C#--WinForm获取本机网卡的型号,IP地址,子网掩码和网关
//方法一:利用注册表 using System; using Microsoft.Win32; class CardGrab {     public static void Main()     {         RegistryKey start = Registry.
704 0
+关注
玄学酱
这个时候,玄酱是不是应该说点什么...
20683
文章
438
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载