收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 装傻跟某马来西亚黑客要来的。(自半锁)
12345下一页
返回列表 发新帖
查看: 8077|回复: 44
收起左侧

[病毒样本] 装傻跟某马来西亚黑客要来的。(自半锁)

  [复制链接]
tokthoo
发表于 2011-5-23 04:14:37 | 显示全部楼层 |阅读模式
本帖最后由 tokthoo 于 2012-3-29 12:41 编辑

应该是远控类型。利用白文件做成的?下载链接:样本已删除。。。太危险了。很多人已经中招。运行过的朋友自己保重。。
解压密码: 123454321
根据他的指示,把压缩包移动到桌面后,双击打开压缩包。然后双击运行svchost.exe,运行时无需先解压(据观察,它会自解压到temp文件夹并添加启动项),但必须必须联网。不然会弹窗说服务器无响应。貌似netman网络人模块,mirocsoft office 被利用了
运行过的朋友,请检查进程表,有没有那里一个 svchost.exe 是以你的电脑用户名启动的,而不是SYSTEM或 LOCAL SERVICES的。有的话就说明你中招了。结束他后,进行垃圾清理,删除mttsoft文件夹,重启电脑,再次检查进程表以策安全
警告!!不要随便运行啊= =+ 贴出我和他后来的对话,估计你们谁运行的人中招了。我是spining,骗子是xxxsmilexxx,我可以肯定他正在监视的不是我。我在虚拟机里运行,再回去和他聊天那时我已经关闭虚拟机。而他却说他正看到“我”已经去下载netman来玩了,并且他远控监视到的IP应该是中国的IP。我人在马来西亚。。所以不会是我。
spining  02:49:45
hihi
spining  05:11:37
你的软件我不会用哦
XXXsmileXXX  05:14:17
你都没有认真听我的指示  怎么会用??
XXXsmileXXX  05:19:05
你打开它
XXXsmileXXX  05:19:16
我重新教你
XXXsmileXXX  05:19:33
快点  我现在才抽到一点时间出来
XXXsmileXXX  05:21:26
还说你电脑不厉害
XXXsmileXXX  05:21:55
竟然能够玩到中国那边的人去
XXXsmileXXX  05:22:07
吉林
spining  05:22:15
你又懂的?
XXXsmileXXX  05:22:41
既然你这么厉害。。。为什么不要一起研究一下??
spining  05:22:50
看到卡饭哪里去了?
XXXsmileXXX  05:22:57
啊?
XXXsmileXXX  05:23:02
什么卡反??
spining  05:23:06
没东西啦
spining  05:23:17
你又懂我玩到中国去?
XXXsmileXXX  05:23:34
你厉害啦!!我介绍了你一个这么好的软件。。你应该感谢我
XXXsmileXXX  05:23:47
这么快就去下载一个新的
spining  05:24:00
??什么意思
XXXsmileXXX  05:24:24
拿了我的被控端,看了web site , 就去下载来玩。。
XXXsmileXXX  05:24:27
还是你厉害
spining  05:25:03
你这样也能发现
XXXsmileXXX  05:25:07

XXXsmileXXX  05:25:14
我已经监控你了啊
XXXsmileXXX  05:25:18
怎么不会发现?
spining  05:25:19
厉害leh你
XXXsmileXXX  05:25:39
流量那边不会有我的软件显示的
spining  05:26:10
那么你看到我做什么来?
XXXsmileXXX  05:26:22
做你妈妈
XXXsmileXXX  05:26:32
偷我的idea还要问东问西

发现进程里出现假的svchost,如图:

发现两个连接数


查看连接




并且成功添加开机启动项,重启后进程依然存在。

http://www.virustotal.com/file-scan/report.html?id=3da1095d7a9e681cbc8028968e566693fc48b32e5af697446e5be24af6f54306-1306094307








本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

post8
头像被屏蔽
发表于 2011-5-23 04:17:52 | 显示全部楼层
此项可能不存在或不再可用
此项可能已删除或过期,或者您没有访问权限。有关详细信息,请与此项的所有者联系。
回复

举报

tokthoo
 楼主| 发表于 2011-5-23 04:21:26 | 显示全部楼层
本帖最后由 tokthoo 于 2011-5-23 04:25 编辑

回复 2楼 post8 的帖子

不能下载?我传错地方,请稍等。。
回复

举报

tokthoo
 楼主| 发表于 2011-5-23 04:27:26 | 显示全部楼层
回复 2楼 post8 的帖子

ok了。改了访问权限
回复

举报

post8
头像被屏蔽
发表于 2011-5-23 04:29:47 | 显示全部楼层
金山鉴定安全  卡巴 鉴定not a virus
回复

举报

tokthoo
 楼主| 发表于 2011-5-23 04:32:13 | 显示全部楼层
但是可以肯定是远控类软件。这个黑客之前骗过我朋友,都是用同一手法的。朋友东西都被他删光,还威胁我朋友给他钱,不然就把私隐的东西散播出去。
回复

举报

bluelily
发表于 2011-5-23 04:42:47 | 显示全部楼层
AVG miss   黑客工具?
回复

举报

tokthoo
 楼主| 发表于 2011-5-23 04:51:44 | 显示全部楼层
不知道,需要高手分析。但可以肯定的是这不是好东西。这个骗子很嚣张。明目张胆骗人,很多人新玩家都上当。
回复

举报

liulangzhecgr
发表于 2011-5-23 05:01:45 | 显示全部楼层
回复

举报

tokthoo
 楼主| 发表于 2011-5-23 05:06:59 | 显示全部楼层
回复 9楼 liulangzhecgr 的帖子

我如果断网下,或者拒绝任何软件访问网路下,也会弹这个框。。。
回复

举报

下一页 »
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-14 02:37 , Processed in 0.125350 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表