官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn»网站 【 病毒分析 】 『病毒分析区』 金山毒霸:无人的电脑前,鼠标为何自己乱动?
12345678910... 24下一页
返回列表 发新帖
查看: 28091|回复: 241
收起左侧

[转载] 金山毒霸:无人的电脑前,鼠标为何自己乱动?

  [复制链接]
bambooslip
bambooslip 发表于 2020-2-28 22:35
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
(一)
      昏冥的冬日,像往常一样,小伟一觉睡到傍晚才醒来。
虽然说和往常一样,可今天却又不太一样,由于疫情的影响,小伟已经半个月没出门了,只能独自在家玩网游,或许是连续玩了好几个个通宵的原因,此刻的他竟然搞不清自己刚刚睡了多久。
      “太饿了,还是点个外卖吧……”他的头很疼,半睁着眼,拖着沉重的身子的想去拿电脑显示器旁的手机,在他快要走到的电脑桌前时,突然听到了游戏启动的声音,小伟对这声音再熟悉不过了,这是他从高中就开始玩的游戏,他甚至能通过不同人物的脚步声,判断出对方人物的角色选择。
      “难道是我忘记关游戏了?”小伟正疑惑到,准备用鼠标去关闭游戏窗口,可是他迟疑了,因为他发现鼠标的光标,竟然自顾自的打开游戏里账号的钱包,正一步一步的进行着转账操作,就好像有人坐在电脑前操作那样。
      “这是怎么回事?”小伟以为自己睡昏了头,揉了揉眼睛,发现自己并没有眼花,这就是事实,“难不成这电脑闹鬼了?”小伟的背后一阵发冷,他想用鼠标去点击游戏的关闭按钮,企图阻止这一切,可屏幕中的鼠标却根本不理会他的操作,正疯狂点击着转账的确认按钮,钱包中的金币数量也瞬间变成了0。
      “啊,不要……”伴随着小伟的尖叫声,鼠标也停了下来,他慌了神,因为这些游戏中的金币是他从高中开始,奋斗了无数个日夜换来的,可是他不明白,为什么好像有个看不见的人坐在自己电脑前操作着,把这些金币全转走了?

图片6.png (260.73 KB, 下载次数: 0)
下载附件  [url=]保存到相册[/url] 7 小时前 上传


(二)
      为了解开这个谜题,小伟只能上网发帖求助,网友建议他去寻找专业人士的帮忙,于是,他找到了一家具有21年历史的安全软件厂商——金山毒霸的工程师,寻求帮助:

图片11.png (4.54 MB, 下载次数: 0)
下载附件  [url=]保存到相册[/url] 7 小时前 上传
  
      工程师在仔细和他沟通后,认为小伟的电脑是中了一种叫做“远控木马”的电脑病毒,为了增加迷惑性,黑客会将这些病毒伪装成游戏外挂、热门电影、图片、文档资料等,引诱人们去打开它,一旦运行,电脑便可被黑客远程控制:

图片1.png (11.96 KB, 下载次数: 0)
下载附件  [url=]保存到相册[/url] 7 小时前 上传
  
      为了防止被杀毒软件发现,这类病毒通常会使用一种叫做“DLL劫持”的技术,其原理大概是:利用一些正常的EXE程序在启动时,对加载的DLL文件校验不严格,仅从文件名判断而不管内容是否正确,从而被黑客利用来加载一些恶意DLL,这种方式俗称白(EXE)加黑(DLL)。
经过工程师的一番查找,最终在小伟的电脑上找到了这个木马:

图片7.png (23.54 KB, 下载次数: 0)
下载附件  [url=]保存到相册[/url] 7 小时前 上传
  
      这个木马利用的白exe文件(Application Verifier.exe)的签名为“上海文华财经资讯股份有限公司”,该文件在引入DLL文件时,未对引入的文件做校验,从而加载了恶意的DLL文件libcef.dll,这个加载组合方式,曾在2018年微信二维码勒索木马中使用,众多易语言开发者中招,这个病毒的整体运行流程如下:

图片2.png (82.85 KB, 下载次数: 0)
下载附件  [url=]保存到相册[/url] 7 小时前 上传
  
      病毒为了隐藏自身,会在恶意DLL加载之后,内存中二次解密出一个DLL(大灰狼远控),并反射加载执行其导出函数Shellex:

图片5.png (28.62 KB, 下载次数: 0)
下载附件  [url=]保存到相册[/url] 7 小时前 上传
  
      这个解密出的DLL远控文件,首先会在注册表中标记运行时间,并连接远控服务器IP:115.231.220.233,为防止重复运行,还创建互斥体Nmbbre hjveaika,运行成功之后,程序就会根据远控服务器的指令,执行任意操作,就好像有人坐在电脑前操作一般:

图片4.png (47.57 KB, 下载次数: 0)
下载附件  [url=]保存到相册[/url] 7 小时前 上传
  

(三)
      此类DLL劫持的病毒非常常见,通常为病毒作者惯用的手法,由于相关远控程序代码早已开源,此类远控木马已经可以直接使用生成器生成,病毒的使用者并不需要太高深的技术水平,只需要简单的配置,即可快速生成这样一款远控木马:

图片3.png (166.85 KB, 下载次数: 0)
下载附件  [url=]保存到相册[/url] 7 小时前 上传
  
      最终,小伟的疑惑解开了,由于小伟之前使用的杀毒软件并不是金山毒霸,才导致了病毒并未被识别和拦截,进而造成金币被盗的情况,在工程师的指导下,小伟从游戏客服那里找回了被盗的金币,并安装上了金山毒霸,从此他再也不担心电脑“闹鬼了”。

QQ截图20200228130434.png (34.57 KB, 下载次数: 0)
下载附件  [url=]保存到相册[/url] 7 小时前 上传
  

IOC:
6dcb7232915164eae56529818ca984a3
8130d9f3812ed245b7883c5dd7b81c92
fe66aaef6f512749d11aeac6349cd436

点评

123456p2625
金山毒爸,捆绑安装,交了多少钱  发表于 2020-4-8 08:37
36449708
我一看标题 就知道是个老毒霸了  发表于 2020-3-13 10:36
庞清源
金山你就是个jb,你来我c盘看我整不整你就完事了  发表于 2020-2-29 17:04
钢铁侠_123
金山毒霸给了你多少钱我腾讯给你四倍!  发表于 2020-2-29 16:22
此ID不存在
吹,可劲吹。查杀大灰狼你也好意思拿来吹逼?  发表于 2020-2-29 09:19
红尘旧梦i
金山毒霸也不是什么好东西,后台强装弹窗,火绒应该灭了金山  发表于 2020-2-29 01:09
涛之雨
金山毒霸给了你多少钱我360给你双倍!老子可是劫持你系统api的!绝对安全!你卸载都卸载不完全的存在  发表于 2020-2-28 23:31

免费评分

参与人数 51吾爱币 +15 热心值 +37 收起 理由
92104aowi312 + 1 广告贴,请遵守论坛版规!
s叨叨 + 1 我都想笑了
柠檬柚子喵 + 1 广告贴,请遵守论坛版规!
wphoneveloper + 1 广告贴,请遵守论坛版规!
绝代、狂蜂 -1 广告贴,请遵守论坛版规!
123456p2625 -1 广告贴,请遵守论坛版规!
付丨先生 -1 来我电脑,看我整不整你就完了!!!!!
fei8255 + 1 + 1 金山一已不是曾经的金山了
饥饿滴小凤 -1 广告贴,请遵守论坛版规!
linux-user + 1 + 1 最垃圾的不过是金山毒霸
花小缺 + 1 一直以来都用诺顿,据说银行后台服务器都在用(据说哈!非广告!)
preety110 + 1 + 1 都是高手高手高高手。
YC愚 + 1 很有帮助,这就去下载金山病毒,听说360也不错,两个都装上吧,“强强联手.
mactaylor -1 广告贴,请遵守论坛版规!
dt8333 + 1 怕不是金山广告
a5228172 + 1 我很赞同!
天使爱2 + 1 我很赞同!
风轻然雨朦胧 -1 这水的真厉害
山东菜鸡 + 1 + 1 谢谢@Thanks!感谢,有点用,后续用到看看
轻轻闪过 + 1 + 1 厉害!!!!!!!!!!!
追梦de鹏 -1 都水到这来了
xwk + 1 这个广告贴不要太精彩,我卡巴斯基说话了么,你就这么吹嘘
YuniNan0 + 1 金山毒霸才是大病毒,腾讯电脑管家也是废柴,360更不用说了,还是火绒安全.
二十四明月夜 + 1 + 1 感谢
大帅啊 + 1 我很赞同!
庞清源 + 2 + 1 金山你就是个jb,你来我c盘看我整不整你就完事了
lyj17335671675 + 1 我很赞同!
lookerJ + 1 热心回复!
CPTBTP666 + 1 我很赞同!
superbzw + 1 大家评论出奇一致,金山毒霸=病毒
woshi1kecao + 1 + 1 故事大家,可以可以
Antizen + 1
b占余文乐 + 1 秒啊,哈哈哈哈
''晚安茶糜 + 1 + 1 金山毒霸自己是什么好东西吗??????
architecture + 1 哈哈哈哈楼主这是在说啥
Whoami. + 1 妙啊 此软文与《华为美》有同工异曲之处
JuncoJet + 1 + 1 我觉得这文章绝逼是用来黑金山毒霸的,你看评论就知道了^-^
htceo -1 垃圾卵件不要吹妞B
zxiaofly + 1 金山毒霸好意思吹,广告流氓,下了一次让我后悔好多天
hihand2000 + 1 + 1 我觉得这文章绝逼是用来黑金山毒霸的,你看评论就知道了^-^
jnez112358 + 1 + 1 谢谢@Thanks!
xuelong911 + 1 我很赞同!
king810705 + 1 用心讨论,共获提升!
smile5 + 1 谢谢@Thanks!
九江入海 + 1 这怕不是金山毒霸的广告软文,哈哈哈哈
情゛﹏微涩 + 1 火绒看了想打人
hlj2019 + 1 + 1 用心讨论,共获提升!
maxmaxmax + 1 金山毒霸自带各种广告和插件,有的还带毒,这不是网上有文章写过吗?自己百度.
a921517303 + 1 金山毒霸-最不要脸的垃圾软件
陈世界 + 1 + 1 我很赞同!
dsb2468 + 2 + 1 哈哈哈

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

lvjuy
lvjuy 发表于 2020-2-28 23:00
火绒他不香啊!
【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复 支持 9

举报

甘愿堕落
甘愿堕落 发表于 2020-2-28 22:47
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
看到底我也不知道在讲啥
如何升级?如何获得积分?积分对应解释说明!
回复 支持 2

举报

dxr2103908
dxr2103908 发表于 2020-2-28 22:46
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
真会吹牛逼

免费评分

参与人数 1吾爱币 -1 收起 理由
敛弈逆袭 -1 我很赞同!

查看全部评分

呼吁大家发布原创作品添加吾爱破解论坛标识!
回复 支持 1

举报

zhaotiankui
zhaotiankui 发表于 2020-2-28 23:04
好多年没用金山毒霸了,现在用其他杀毒软件
如何快速判断一个文件是否为病毒!
回复 支持 1

举报

支持论坛
支持论坛 发表于 2020-2-28 22:45
原来是广告?
回复 支持 1

举报

死神过境
死神过境 发表于 2020-2-28 22:49
这属于广告贴吗
回复 支持 1

举报

Yanderedev
Yanderedev 发表于 2020-2-28 22:56
哈哈哈,原来在打广告
回复 支持

举报

happynocn
happynocn 发表于 2020-2-28 22:58
金山毒霸真牛,这广告做的不赖,
回复 支持

举报

fantso
fantso 发表于 2020-2-28 23:06
管理员应该把发帖人屏蔽掉,发广告!
回复 支持

举报

下一页 »
12345678910... 24下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-4-20 04:55

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表