这次是有一个网吧反应私服劫持,需要我远程看一下,然后我就发现了问题了。 这家网吧被黑了,开机命令被添加了SuwnradPkg.exe图标是白色的,做得是越来越真实了 隐藏的,图标是空白的,不仔细一看,还真以为是顺网的索引文件。
好,我们继续进行下一步分析。运行后,会连接网站,然后读取配置文件,下载需要所文件。 这里我就不敢再点名是谁的了,因为他们都加了我的微信,我一更新工具,他们就跟上更新木马,具体是谁,大家可以自己去分析一下。之前被黑的文件,都有指向那家公司。大家可以去了解一下,问一下,这家公司对网吧特别熟悉。 1. 运行后,会扫描局域网内,所有机器的6580端口,具体是干嘛,目前没摸清楚。 2. 然后读取到配置文件后,会联系这台服务器103.85.86.*下载他需要的AD文件等,当然,绝对不止这一个IP,还有好几个,有的是澳_门的,这里就不一一写出来了。 3. 查到的域名,查备案,也是国外的,想都不用想。 4. 当然,还会寻找游戏盘,释放文件。 5. 还会打开ipip.net查找当前网吧外网IP,好做统计 6. 还会进入360down.cn做统计。MAC,内网IP等。 一些敏感数据,都已经打码。因为实在不想得罪人,网吧行业,太难了。 好了,简易分析就到这里了,这个下载器,下载了很多EXE下来,大家可以自己分析一下,有的DLL,和EXE都还带签名的,应该是帮忙推的广告。
最后,我们的病毒检测工具已经更新了,下载最新的病毒检测工具即可。最后,我们不想得罪任何人,现在网吧不易,希望大神们,放过网吧一马!!
直接去下载就可以了 当然,Synaptics.exe这个也是他们带下来的。
|