IT技术互动交流平台

说说那些偷鸡不成蚀把米的事儿

作者:Luke Viruswalker  发布日期:2016-02-26 22:01:50

人心不足蛇吞象,人们经常想要这想要那,但如果心放的不正,难免偷鸡不成蚀把米。这次说说我们最近见到的两件事:

远控免杀360——说的跟真的一样

同事发现有人在某黑客论坛上发了一篇名为《[特征码免杀] 最新版远控Ghost RAT 过360 金山 管家 瑞星 百度》的帖子。

看了之后感觉好慌张,赶紧下回来测试一下。以往来说,拿到这种远控生成器,应该是先运行起来生成一个远控客户端,然后再测试对远控客户端的拦截能力。然而令人匪夷所思的是这个样本下载回来之后运行,根本没看到任何供生成客户端的界面,于是只得分析了一下。

程序显示获取自身的文件句柄,然后循环的读取数据

紧接着就是开始向%ProgramFiles%ing目录下释放各种文件:

释放完成后便启动这个名为GoTop的主程序,然后……就没有然后了……这程序静悄悄的部署玩这一批文件之后便退出了……

而这个Gotop也再向服务器传送了我本机的一些基本信息用于统计之后,便启动了browser目录下的gotopbr开始欢乐的刷其流量来了~~

万幸作为信息安全从业者,测试必用虚拟机已经是一个习惯成自然的事情。而想想那些一心想得到一个免杀各大主流杀软的远控去控制别人机器的所谓“黑客”们……结果却成了别人的获利的工具,也是心疼……

外挂变身锁屏狗

无独有偶,还有一个朋友也跟我说了一个发在另一个论坛的事。只不过这次发的是一个游戏外挂,而且由于传播恶意程序已经被删掉了,截图看看标题就好了:

找朋友要到了当时这人发的原始程序。跑起来看看,别说,还真是个外挂的意思:

但暗地里还偷偷搞了点副业。显示在C盘根目录下释放了一个叫做ddr2.dll的文件:

而ddr2.dll又在system32下面创建了一个Base.ini的文件

再将这个看似是个配置文件的Base.ini直接运行了起来

Base.ini则简单粗暴的完全就是个下载者木马————下载&运行:

而被下载回来的dvfsxf.exe则又要下载一个NetSyst96.dll来调用:

可惜的是我还是晚了一步————可能是删帖让对方感觉到了什么,所以经把这个服务器给关闭了:

但我们从论坛的回帖中还是可以直到当时他都做了些什么————一个典型的敲竹杠木马:

做人别贪心

这种事情在我们看来其实很常见的,外挂、木马生成器、黑客工具……加带木马或者本身根本就是个木马的比比皆是。对方利用的就是你的贪心,想要不劳而获么?我给你工具,拿去用就好了————结果就是自己反而成了别人获利的工具而已。

延伸阅读:

Tag标签: 事儿  
  • 专题推荐

About IT165 - 广告服务 - 隐私声明 - 版权申明 - 免责条款 - 网站地图 - 网友投稿 - 联系方式
本站内容来自于互联网,仅供用于网络技术学习,学习中请遵循相关法律法规