官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn»网站 【 管 理 】 『站点公告』 BanID:Ss゛锋子℡和qq412158094【发布软件捆绑格盘远控 ...
12345678910... 46下一页
返回列表 发新帖
查看: 120454|回复: 443
收起左侧

BanID:Ss゛锋子℡和qq412158094【发布软件捆绑格盘远控木马】

    [复制链接]
Hmily
Hmily 发表于 2015-10-16 12:43
BanID:Ss゛锋子℡和qq412158094【发布软件捆绑格盘远控木马】

事情经过:qq412158094在原创区发帖“最新版可用网盘分析工具”,我审核原创区的时候发现软件被捆绑了一个木马,我就将其ban了

1.png 2.png

没过一天,被ban的人又注册了一个马甲Ss゛锋子℡,还来发帖问为什么我ban他

3.png

一般情况下,如果是木马作者放木马不会这么呆又来注册一个马甲还问为什么ban他,因为ban了的原因是放木马是可以从小黑屋看到的,但放木马这个是事实(后面我给出具体病毒分析过程),难道作者自己不知道有木马?抱着这个想法我和他聊了会,由于昨天实在太忙,服务器还忙着维护,开始没有具体分析木马过程,只是简单运行后把木马释放的截图和代码发给他看,并把火眼分析木马的过程也发出来,具体看他帖子:

http://www.52pojie.cn/thread-422209-1-1.html

然后他就开始扯皮了,说是他的程序没问题,程序加了Shielden的壳,是不是壳干的?然后我就解释壳能做的,和程序能做的从代码可以区分,反正后面他就咬定Shielden干的了(我发给@Nooby ,Shielden的作者,一会让他来打脸)。

并且他又开始发了一个程序,并且新的程序真没有木马,但也没有加壳。更奇怪的是新的程序连易语言的花指令都没有了,之前有木马的程序还加了易语言花指令(懂易语言的同学可以解释下这个要怎么实现)。

截止到这时候我也抱有希望他可能真的不知道这个木马有没有,是不是模块干的,所以他扯一堆我也不理他让他发代码,有了代码就显而易见了,因为原始发出来的有木马,他发的代码要是有木马那情有可原,他不知道,如果代码没有木马,那肯定就是他放的木马了,不然木马和花指令自己没了?他发的代码验证没有木马过程,所以确定是他干的。也不可能是他易语言被感染了,因为他前面的原程序有木马,后面编译的就没木马。更不可能是se加壳的问题,这个我后面技术分析会讲,并且他自己也用se再加壳就没有出现木马。这些是经过从帖子都可以看出来,下面我带大家分析下这个木马过程:

木马:
网盘分析工具.exe   MD5: AAAC973C9EBAB9B8866A3F502ABBE6E2
svchost.exe  525EB89E126270423F0B595A9C05EE0C
木马打包.7z (2 MB, 下载次数: 872) 解压密码:52pojie

过程:
网盘分析工具.exe运行后释放C:\WINDOWS\system32\Do\svchost.exe并运行,程序加了se的壳,可以直接带壳调试,程序还加了易语言花指令,直接用吾爱OD里面去易语言花指令工具去除,然后查看下字符串就找到关键了,代码如下:

a.png
bb.png
c.png
d.png

可以清楚看到释放运行木马的过程在代码段上,去除易语言花指令后易语言的风格代码清晰可见,这位放木马的菜鸟别在往se身上赖了。

主体释放木马运行后继续运行自身,我们看看木马svchost.exe都干了什么?这个木马也是易语言编写

4.png
5.png

从字符串就可以大体看出干了什么,再结合代码就显而易见了,语言描述行为如下:
1、木马会伪装成声卡驱动添加启动下实现自启动,software\microsoft\windows\CurrentVersion\Run\声卡驱动
2、联网从http://url.yexu.net.cn/111/kg.inf获取配置信息。
3、如果上面配置返回1(现在返回41),则执行创建一个Dielfl.bat批处理,写入DEL C:\*.*/S/F/Q,并执行。
4、执行完以后强制重启电脑。

如果木马作者把线上配置改为1,中毒中将执行C盘格盘,这就是木马的所有行为。

查杀方法(尽快删除,防止被格盘):
木马已经提交到360的@kissy 和腾讯管家@willJ 那了,木马可以直接杀掉,大家可以直接用360或者管家查杀。
手动可以结束进程,删除C:\WINDOWS\system32\Do\svchost.exe文件,删除启动项即可。

想对那些涂怀不轨的*渣说,你在吾爱破解这样的技术论坛玩这种小伎俩,这里都是活跃在互联网安全界的精英,这点小动作就是找死,奉劝那些蠢蠢欲动的人,尽快走入正途,不要误入歧途!

最后感谢大家一直以来对吾爱破解论坛的支持和维护,论坛安全离不开大家监督,任何违法违规的行为都逃不过大家的眼睛和管理的审查,对待此类*渣论坛绝不手软,坚决处罚到底!

点评

xouou
这家伙太傻了,网站千千万,非要到这里来闹  发表于 2015-10-24 22:15
阿纯@
H大跟我搞过一夜情   发表于 2015-10-23 13:54
吾爱扣扣
区区E语言就想写病毒来坑害大家,也不看看我大H是谁  发表于 2015-10-17 22:58
满月
请把那个没绑木马的发出来0.0  发表于 2015-10-17 09:26
Niuer
前排告诉你们 大H没我帅!~  发表于 2015-10-16 21:27
嘉文
每次BANID都感觉像上课一样 支持H大  发表于 2015-10-16 13:26
凉游浅笔深画眉
最喜欢看病毒分析的帖子了  发表于 2015-10-16 13:03
丨皮卡丘丶
土豪任性,连买3个邀请码 !  发表于 2015-10-16 12:55

免费评分

参与人数 300吾爱币 +13 热心值 +302 收起 理由
LLLYYYLLL + 1 + 1 浑身肌肉的H大
liphily + 1 + 1 我给H发1cb的奖金
teamong + 1 + 1 谢谢@Thanks!
VincentSun + 1 + 1 用心讨论,共获提升!
爱学习的小仙女 + 1 + 1 我很赞同!
fhisd + 1 + 1 谢谢@Thanks!
青春期_。 + 2 + 1 已答复!
bluewff + 1 + 1 我很赞同!
dkr0801 + 1 + 1 我很赞同!
l281180570 + 1 + 1 谢谢@Thanks!
jxcl01036 + 2 + 2 谢谢@Thanks!
biscuitlx + 1 谢谢@Thanks!
简单的人 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
该离开吗 + 1 我很赞同!
rh1120 + 1 大神。膜拜一下
mlwy + 1 谢谢@Thanks!
King125 + 1 我很赞同!
命运的追逐 + 1 我是最帅的
1715173329 + 1 上课ing...
GQB1226 + 1 谢谢@Thanks!
Black_RBKM + 1 我很赞同!
zla585987 + 1 我很赞同!
wanglaihuai + 1 关公门前耍大刀···哈哈。可是怎么丫总能注册到马甲呢···
yeric1993 + 1 我很赞同!
williamstrike + 1 真是涨姿势了~
路喜发998 + 1 谢谢@Thanks!
霖韵嫣然 + 1 这个*渣又在百度贴吧上叫嚣了
gsym97 + 1 我很赞同!
金苹果 + 1 谢谢@Thanks!
天蝎浪花 + 1 看完了,辛苦@TKS~
tong000 + 1 太帅了!
好好学习吧 + 1 我很赞同!
yo4yo + 1
candyhut + 1 我很赞同!
所以说 + 1 我很赞同!
kiss_i + 1 我很赞同!
往事徒回首 + 1 我很赞同!
weihe + 1 我很赞同!
q1285257165 + 1 我很赞同!
a122783999 + 1 我很赞同!
bonwe95 + 1 请勿灌水,提高回帖质量是每位会员应尽的义.
IlIIlI + 1 我很赞同!
抬头看见天 + 1 感谢楼主汉化
bet365china + 1 酷酷的H大
龟仔龟龟 + 1 请勿灌水,提高回帖质量是每位会员应尽的义.
andyyin12345 + 1 H大是全论坛最帅的人,没有之一。
悲凉 + 1 事实告诉我们取ID最好不要用QQ
no45920 + 1 谢谢@Thanks!
shaoheigd + 1 我很赞同!
我在十楼 + 1 谢谢@Thanks!
pojielover + 1 H大太帅了,难怪是论坛上最帅的人!!!
曹嵎魁 + 1 我很赞同!
hzzheyang + 1 热心回复!
心之所在 + 1 我很赞同!
patriot + 1 谢谢@Thanks!
Quan + 1 我很赞同!
wps2000w + 1 我很赞同!
清风徐来 + 1 这人我也是醉了!不怕你吧别人当SB。但是别.
一战方休 + 1 我很赞同!
mjzcnxp + 1 我很赞同!
风逝998 + 1 谢谢@Thanks!
killxdcj + 1 炫酷!!
君王。 + 2 虽然没看懂......赞一下!
badking + 1 我很赞同!
GHB + 1 我很赞同!
ninetyfour + 1 谢谢@Thanks!
jiangshaopeng + 1 我很赞同!
q845745898 + 1 412158094是他qq号?
59311081 + 1 我很赞同!
y2651540 + 1 我很赞同!
adlnux + 1 管理园敬业!
voie7 + 1 我很赞同!
Pure_White + 1 H大太赞了!
长存 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
kinalon + 1 热心回复!
焚香不见仙 + 1 虽然没看懂程序,但是支持H大的工作与为了.
KevinChow + 1 我很赞同!
diouey + 1 我很赞同!
Thirteen + 1 谢谢@Thanks!
会跳舞的龙 + 1 谢谢@Thanks!
dg566 + 1 相当精彩!
老虎爱吃素 + 1 赞一个~
终点国际 + 1 我很赞同!
hidekill + 1 谢谢@Thanks!
Boy77wapj + 1 我很赞同!
阿超丶 + 1 谢谢@Thanks!
1278005616 + 1 大牛技术文化就是高
奔跑吧 + 1 已经处理,感谢您对吾爱破解论坛的支持!
lonely_coder + 1 我很赞同!
lastwhisper + 1 我很赞同!
如影随形 + 1 我很赞同!
丿刹那间的永恒 + 1 我很赞同!
delsystem32 + 1 我很赞同!
52plion + 1 谢谢@Thanks!
NULL + 1 区区E语言就想写病毒来坑害大家,也不看看.
X13500008 + 1 H大 V587 !
hfy007 + 1 我很赞同!
siti01 + 1 我很赞同!
eatmoon + 1 每次BANID都感觉像上课一样 支持H大 哈啊.
dj109247 + 1 支持ban掉。。

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

周杰伦
周杰伦 发表于 2015-10-16 13:03
我想知道H大用的是什么安全软件

点评

Juno_Jr
SSM 网盘里有 只支持XP  发表于 2015-10-16 13:07
【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复 支持 1

举报

苏紫方璇
苏紫方璇 发表于 2015-10-16 12:49
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
易语言的花指令是在系统设置上进行设置
QQ截图20151016125154.png

点评

Hmily
应该就是这个,明显不可能是se加壳出来的,他后面编译就没花,并且木马代码也被去掉了。  详情 回复 发表于 2015-10-16 12:51
如何升级?如何获得积分?积分对应解释说明!
回复 支持 1

举报

Hmily
 楼主| Hmily 发表于 2015-10-16 12:46
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
又注册一个马甲Youbigye来喷,放木马还装,继续ban!
BaiduShurufa_2015-10-16_12-47-45.png

点评

Juno_Jr
恭喜喜当爹 哈哈  发表于 2015-10-16 13:07

免费评分

参与人数 1热心值 +1 收起 理由
我宠我爱 + 1 审查元素,bug测试

查看全部评分

呼吁大家发布原创作品添加吾爱破解论坛标识!
回复 支持 1

举报

Srao
Srao 发表于 2015-10-16 12:46
大H 威武 那家伙又注册一个

免费评分

参与人数 1热心值 +1 收起 理由
qaz115955 + 1 鼓励转贴优秀软件安全工具和文档!

查看全部评分

如何快速判断一个文件是否为病毒!
回复 支持

举报

酒醒黄昏
酒醒黄昏 发表于 2015-10-16 12:46
清者自清  支持H大
回复 支持

举报

Hmily
 楼主| Hmily 发表于 2015-10-16 12:51
苏紫方璇 发表于 2015-10-16 12:49
易语言的花指令是在系统设置上进行设置

应该就是这个,明显不可能是se加壳出来的,他后面编译就没花,并且木马代码也被去掉了。
回复 支持

举报

破~~
破~~ 发表于 2015-10-16 12:52
很牛逼!!
回复 支持

举报

Millet_Lok
Millet_Lok 发表于 2015-10-16 12:53
从他的语气就可以看出一些事情,还是支持H大
回复 支持

举报

倾听雨落
倾听雨落 发表于 2015-10-16 12:53
给你顶一个 继续ban他id
回复 支持

举报

52HLW
52HLW 发表于 2015-10-16 12:53
占个前排
回复 支持

举报

下一页 »
12345678910... 46下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 提醒:禁止复制他人回复等『恶意灌水』行为,违者重罚!


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-4-20 00:41

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表