网站入侵

黑客接单,网站入侵,黑客教程,黑客技术,网络黑客

2022年03月27日 11:40:00

黑客体验,怎么干掉“肥兔”?你懂的

       

电脑管家发布了6月份的安全报告

管家详细剖解了肥兔木马。但是如果你不懂剖解,也没关系。管家直接帮你杀了肥兔。            深入剖解肥兔
   
   1、setup_3l.exe文件剖析
   
   ??样本MD5:fc4631e59cf1cf3a726e74f062e25c2e 外观:37最新游戏在线
   
   样本运行后下载图片http://less.3gfetion.com/logo.png,图片尾部附加了大量的二进制数据,解密后获得名称FeiTuDll.dll并在内存中加载执行文件。这也是肥兔木马名字的源泉。FeiTuDll.dll文件的属性信息,以及PDB路径信息。
       
       
       
           2        FeiTuDll.dll文件剖析
   
   ??样本MD5:a5b262da59a352b1c4470169183e094b
   
   ??FeiTuDll.dll运行后,网络以下信息:
   
   1)通过int.dpool.sina.com.cn获取本机外网IP归属地等信息
   2)检查机器的软安装情况:检查是否存在zhudongfangyu.exe等360系历程、QQPCTray.exe等管家系的过程,kextray.exe等待金山系的历程;
   3)检测本机是否为网吧机械wanxiang.exe、yaoqianshu.exe判断过程是否是网吧机械;
   4)本机MAC地址
   5)本机操作系统版本    
   
   ??    网络完成后,提交信息http://count.tianxinli.org/player/tj.php
   参数图案及说明如下:
   
   ??op=install(操作)
   ??ri=(当前历程名)
   ??mc=(MAC地址)
   ??vs=1.0.0.1(木马版)
   ??dq=(int.dpool.sina.com.cn返回的IP等信息)
   ??sd=(杀毒软件情况:360SecurityGuard、QQhousekeep、KingSoft或组合)
   ??os=(操作系统版)
   ??sc=(屏幕分辨率)
   ??bar=(网吧1:0:否)
   ??tm=(当前时间戳)
   ??key=(以上信息MD5校验)
   
   吸收服务器返回的信息,判断是否包含az字符设置响应标志,木马应标志提交MAC判断机器是否被熏染,如果被熏染,则返回az”,否则不返回任何信息。    
   
               
   ??然后,木马将将大天使之剑的安装包下载到内陆行安装。    
   
           
           ??安装完成后凭据之前是否返回“az还决定后续行为,如果返回az退出过程,不再有其他行为;如果不返回az举行以下行为:判断当前操作系统版本为32或64个加载差异的资源文件,最终在暂时目录下发布tmp.exe和yrd.tmp,在windows目录下释放yre.tmp,

腾讯陈濮:用一个生态,构筑天下无贼

并将yrd.tmp文件路作为参数执行tmp.exe。判断系统文件是否在完成上述行为后取代乐成,并努力关闭windows文件珍惜相关建议窗口。    
   
           
                   
           3        tmp.exe文件剖析
   
   根据操作系统的类型,首先删除dllcache目录中的Sens.dll或Cscdll.dll(x86);然后用yrd.tmp替换system32目录中的Sens.dll或Cscdll.dll(x86)。
   
   4        yrd.tmp(Sens.dll、Cscdll.dll)文件剖析
   
   捕获的几种广度较大的变种MD5如下:
   
   f749521e9e380ecefec833d440400827
   8ccf78082effa9cd3eaffbeb2a04039f
   4bf8a7fd3a91e47d816cab694834be65
   a18d30fef0a73cce4131faf2726adfdb
   8c10cc9cde85457b081ecf7cba997019
   
   文件PDB信息如下:    
   
               
   当系统启动时, 文件将被启动winlogon加载过程的效果是解密%windir%\yre.tmp文件保存%windir%\svchost.exe,最后执行两次,即建立两个过程。
               
           5        %WinDir%\svchost.exe文件剖析
   
   文件pdb信息如下:    
   
               
   ??该文件同时执行两次,并以相互排斥的方式分工如下:
   
   先执行的过程行为:
   1)释放LKS19.tmp并加载驱动文件
   2)建立名称sysPipa管道吸收下令
   3)与驱动通信,将下令传递给驱动
   
   后执行的过程行为:
   1)发送本机各种信息http://count.tianxinli.org/player/tj.php,参数花样与FeiTuDll.dll相同。
   2)找到杀软过程,并将pid传递给sysPipa管道,用于竣事杀软历程
   3)从以下地址下载文件到内陆执行,内陆存储SVCH0ST.exe
   http://dwxx.bizhihd.com/@EC03C5D1E92C5E4BA4DFF6C1B5077164497
   4)关闭UAC
                   
   6        驱动文件LKS19.tmp剖析
                   
   驱动文件具有以下功能:
   1)注册CreateProcess回调通过向浏览器过程添加下令行来锁定主页
   2)下令修改锁定的主页地址
   3)完成指定的过程
   4)凭据下令,hook指定的SSDT表函数
   
   7        SVCH0ST.exe文件剖析:
   
   文件PDB信息如下:该模块的功效主要是通过百度推广盈利    
   
           
           ??推广的软件列表如下:    
   
               
   怎样杀掉肥兔?你知道吗?
   
   不了解肥兔的解剖原理并不重要。管家直接帮你杀死肥兔。安装计算机管家的用户可以放心,管家可以准确地阻止木马及其变体。用户不需要做任何处理。当管家发现病毒时,他们只需点击一键消除即可。    
   
           
                   
           ??没有安装管家,感染木马的用户也不重要。管家的实时安装和闪电杀毒可以完全消除木马。
       

腾讯马斌:共同构建产业链免疫系统

   

标签:黑客接单 

作者:访客 , 分类:安全新闻 , 浏览:1025 , 评论:3

  • 评论列表:
  •  访客
     发布于 2022-07-02 18:52:42  回复该评论
  • exe、yaoqianshu.exe判断过程是否是网吧机械;    4)本机MAC地址    5)本机操作系统版本            ??    网络完成后,提交信息ht
  •  访客
     发布于 2022-07-02 15:46:22  回复该评论
  •                            怎样杀掉肥兔?你知道吗?        不了解肥兔的解剖原理并不重要。管家直接帮你杀死肥兔。安装计算机管家的用户可以放心,管家可以准确地阻止木马及其变体。用户不需
  •  访客
     发布于 2022-07-02 19:21:08  回复该评论
  • 信,将下令传递给驱动        后执行的过程行为:    1)发送本机各种信息http://count.tianxinli.org/player/tj.php,参数花样与FeiTuDll.dll相同。    2)找

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.