找回密码
 加入网盟
分割线
官方精品推荐
这次是有一个网吧反应私服劫持,需要我远程看一下,然后我就发现了问题了。
这家网吧被黑了,开机命令被添加了SuwnradPkg.exe图标是白色的,做得是越来越真实了
隐藏的,图标是空白的,不仔细一看,还真以为是顺网的索引文件。
1.png
好,我们继续进行下一步分析。运行后,会连接网站,然后读取配置文件,下载需要所文件。
这里我就不敢再点名是谁的了,因为他们都加了我的微信,我一更新工具,他们就跟上更新木马,具体是谁,大家可以自己去分析一下。之前被黑的文件,都有指向那家公司。大家可以去了解一下,问一下,这家公司对网吧特别熟悉。
1.      运行后,会扫描局域网内,所有机器的6580端口,具体是干嘛,目前没摸清楚。
2.      然后读取到配置文件后,会联系这台服务器103.85.86.*下载他需要的AD文件等,当然,绝对不止这一个IP,还有好几个,有的是澳_门的,这里就不一一写出来了。
3.      查到的域名,查备案,也是国外的,想都不用想。
4.      当然,还会寻找游戏盘,释放文件。
5.      还会打开ipip.net查找当前网吧外网IP,好做统计
6.      还会进入360down.cn做统计。MAC,内网IP等。
2.png
3.png
5.png
6.png
7.png
77.png
一些敏感数据,都已经打码。因为实在不想得罪人,网吧行业,太难了。
好了,简易分析就到这里了,这个下载器,下载了很多EXE下来,大家可以自己分析一下,有的DLL,和EXE都还带签名的,应该是帮忙推的广告。

最后,我们的病毒检测工具已经更新了,下载最新的病毒检测工具即可。最后,我们不想得罪任何人,现在网吧不易,希望大神们,放过网吧一马!!

直接去下载就可以了 当然,Synaptics.exe这个也是他们带下来的。
华夏网盟最新的病毒检测工具,https://www.hxwglm.com/thread-38059-1-1.html

分享至 : QQ空间
收藏

0 个回复

您需要登录后才可以回帖 登录 | 加入网盟
关闭

华夏网盟推荐 上一条 /1 下一条