看这篇文章的时候,可以先看看我们之前写的那篇
https://www.hxwglm.com/thread-37735-1-1.html
昨天晚上,一位微信好友,找到我,说他维护的网吧,客户机都被添加了开机命令,服务器的远程用的是3389!!
然后,第一次,让我进入他的服务器,拿走了一个样本文件,结果想分析的时候VMP1壳,直接放弃了!!
然后没办法,我们只能直接在虚拟机下面运行一下,看他是干嘛的,结果,这东西,挺厉害的,发现是虚拟机
直接就退出了。
然后我们继续排查服务器是怎么被黑的,最后,在这个技术员的排查下,发现了。
对方的IP,对方登入的用户名,隐藏用户名 $ 大家应该都能看懂吧?
而且给人的感觉是扫描器在撞库!!
到这里为止,应该可以确定是3389撞库进来的了!!
======
后面,他把客户机开机启动的文件通过邮箱发给了我,我简单给大家分析了一下!!!
拿的了客户机开机启动的文件后!!!就发现是E语言写的。而且图标还是网维大师的!!
名字,图标,都不难发现,这个人,心思缜密!感觉很了解网吧行业哦!还知道9600,哈哈,应该是9060!
我们拿到这个程序后,立马进行了分析!
先获取一段列表,控制等!!然后再下载指定的东西!!
然后分析到这里,发现这只是一个下载器!!然后我们继续!!
我们下载得到SY.exe分析后是经过打包的文件!!然后我们想办法进行解包!!
解包后,我们得到了两个文件。
我们现在先分析这个SVCHOST.exe 首先,我们发现的还是。。。。隐藏的很好的系统文件说明
程序里包含了远程工具应该是用远程用的,
然后我们分析另一个文件!得到的内容:
分析到这里,应该是盗号的。各位发送POST数据等等。获取KEY啊,API接口。
遇到哪些进程,自杀等等!!!在服务器桌面上还有这么一个360浏览器!!!好了,吹了这么久的NB,应该要分享一下解决方案了:服务器这一块:1.快过年了,网吧生意也好了,建议大家,把路由密码保管好!然后关闭所有端口映射!需要的时候开!!(很大几率减少被扫描!)2.封掉以下我们提供的所有IP地址,域名,至少能防一下现在这个下载器,盗号的,等!!IP地址,域名,回复可见!!ip: 在本公众号回复 安全防护 即可获取
更多精彩内容:
[VIP工具]PUBG/绝地求生,WIN10下退出不干净导致无法2次进入问题解决
解决STEAM每次启动都需要在线更新的问题V4<12月8号>
【VIP软件更新】QQ网吧MAC,机器号提取工具(云更新版)
【VIP软件更新】QQ网吧MAC,机器号提取工具(网维大师版)
以下是赞助商内容:
声明:本网页内容旨在传播知识,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:704559159@qq.com