盗号病毒 #1 分析

a233

223110 发表于 2019-4-12 17:51
当时是某个帖子里的，据说还可以盗网银，现在的盗号啊，太特么牛逼了

360急救箱试过了吗

223110

a233 发表于 2019-4-12 17:52
360急救箱试过了吗

试过了，最后在吾爱某位大佬哪里找到的MBR修复方法

zghnsy127

: Object: C:\Users\Administrator\Desktop\破解补丁.exe
: MD5 hash: e1376593425f8ca5e72f881b700f6f99
VIPRE: Trojan.Win32.Autorun.dm

静影沉璧

BD
网页拦截：Generic.Application.CoinMiner.1.BF61BD95


双击：主防杀

ATP_synthase

小Q机器人

360和卡巴斯基都杀

Jerry.Lin

Panda SCAN MISS

YU2711

McAfee

杀软病综合医院

你中毒估计是随手点信任

BE_HC

怀疑没有盗号行为或者行为未触发
打包文件（包含解压的本体及衍生物）：https://www.lanzous.com/i3r4s3a

自带浏览器数据

1. 0x000093cd: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
   
2. 0x00009400: http=
   
3. 0x00009406: HTTP/1.1
   
4. 0x0000940f: Accept:
   
5. 0x00009444: eg, image/pjpeg, application/x-shockwave-f.l.a.s.h, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
   
6. 0x000094c7: Referer:
   
7. 0x000094d4: Accept-Language:
   
8. 0x000094e6: Accept-Language: zh-cn
   
9. 0x00009503: Content-Type:
   
10. 0x00009512: Content-Type: application/x-www-form-urlencoded
    
11. 0x00009544: Content-Length:
    
12. 0x00009555: Set-Cookie:
    
13. 0x00009564: http://
    
14. 0x00009580: 0123456789ABCDEF
    
15. 0x000095a2: @http://ptlogin2.qq.com/getimage/paycenterqqcard?aid=20000101&0.7970060507252166

复制代码

HUAWEI-FireHunter & FortiSandbox

易语言？




虚拟机运行（无注入QQ行为）





总共访问一下IP 信息均来源于微步

1. 110.76.30.76 属于阿里巴巴 IDC
   
2. 59.62.9.157 动态IP 中国 江西 萍乡
   
3. 117.18.237.29 爆破服务器  https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=907
   
4. 175.6.29.230 属于阿里巴巴 IDC
   
5. 119.147.70.249 属于阿里巴巴 IDC
   
6. 116.207.100.254 属于阿里巴巴 CDN服务器
   
7. 119.147.70.250 属于阿里巴巴 IDC
   
8. 125.77.142.200 img.ucdl.pp.uc.cn 属于阿里巴巴
   
9. 106.11.250.82 属于阿里巴巴 IDC
   
10. 106.11.209.60 属于阿里巴巴 IDC

复制代码