网吧登入QQ和wegame会弹出JD商城—BY E城大叔
遇到个别网吧,在客人登入QQ和wegame后,会有概率性或者是100%的出现QQ登入安全提醒,XXXX登入了JD商城,如下图:这个问题前段时间就遇到的了,当时没有查到来源,因为查着查着,突然正常了,因为现在外面好多不正当的软件都很狡猾,检测到某些工具在客户机上运行了,然后他就自动消失了,这样的现象遇到很多次了,包括昨天晚上,也是查着查着,突然就正常了,不过还好,昨天已经查到了可疑的文件了,所以今天遇到了,查起来就方便多了。
案例1:
可疑文件就是客户机上C盘里temp目录下会有随机名的5位数字的dll文件,如下图:
知道了这样的dll文件后,就在服务端上挂盘放工具抓这样的dll是谁生成的了,抓出来的结果如下,ERIJHIGGH.EXE释放38203.dll
然后看ERIJHIGGH.EXE是谁释放的,这样就清楚了,如下图:
案例2:
也是一样的5位随机名的dll的,先是XXEXE文件注入到explorer.exe里释放wfpu.exe
wfpu.exe释放Qawq.exe
然后Qawp.exe注入到PID10028的svchost.exe里
然后PID是10028的svchost.exe释放5位随机名的dll
虽然遇到的不是同一个软件的,估计应该是他们做的增值是出自同一家公司的。
另外再次感谢我们公司安全的同事!! 感谢{author}楼主 膜拜大神3秒钟 膜拜大神10秒钟
页:
[1]