850游戏远控变种

vm001

上篇帖子http://bbs.kafan.cn/thread-2056354-1-1.html
结果地址换了安装包也换了
现在的钓鱼网址
钓鱼网址
http://850game.com/
跳转到
http://game850.qzone8.cc/
下载页面
http://game850.qzone8.cc/index-7.html
下载链接
http://odi28r29j.bkt.clouddn.com/850lobby.exe?attname=

样本备份
https://yunpan.cn/ckd7IPwQD3XBc （提取码：cf66）

木马



安装后，游戏快捷方式指向游戏升级程序（其实是丫丫的程序）



然后加载yymainframe.dll读取xp.ios



另一个后门


链接远程地址





赠送一个

蓝天二号

火绒

fireherman

年轻力壮不去好好找份工作，天天想着干这些损人利己的玩儿，这些屌毛就不怕“日”后生下的小孩没屁眼吗？


ESET 右键 miss

双击运行后，拦截：

[mw_shl_code=css,true]2016-9-15 11:45:06        高级内存扫描程序        文件        系统内存 > Autoupdate.exe(3588)        Win32/Farfli.AKZ 特洛伊木马 的变种        已清除 - 包含被感染的文件                        3B1AEF25FEC82635A31FD0A4843BF1B326CC564E        [/mw_shl_code]

QQ1014530747

fireherman 发表于 2016-9-15 11:49
年轻力壮不去好好找份工作，天天想着干这些损人利己的玩儿，这些屌毛就不怕“日”后生下的小孩没屁眼吗？
...

最近eset可是吊炸天

fireherman

QQ1014530747 发表于 2016-9-15 13:23
最近eset可是吊炸天

我的ESET都是开挂（功能全勾选）

可能是这个原因吧；如果使用默认，估计……

QQ1014530747

fireherman 发表于 2016-9-15 13:26
我的ESET都是开挂（功能全勾选）

可能是这个原因吧；如果使用默认，估计……

那个内存扫描是主房，妈的eset来中国那么久了查杀还是最高的，小红伞一过来各种免杀

胖福

文件名: d2dengine.dll
威胁名称: Heur.AdvML.B完整路径: f:\下载文件\d2dengine.dll

____________________________

____________________________


在电脑上 
不可用

上次使用时间 
2016/9/15 ( 16:28:29 )

启动项 
否

已启动 
否

威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。

____________________________


d2dengine.dll 威胁名称: Heur.AdvML.B
定位


未知
诺顿社区中使用了此文件的用户数 未知。

未知
此文件版本当前 未知。

高
此文件具有高风险。


____________________________


来源: 外部介质


____________________________

文件操作

受感染文件: f:\下载文件\ d2dengine.dll 已删除
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

bbszy

mcafee 只杀D2D那个dll

bbszy

趋势扫描miss

230f4

西湖的水。。。