本文讲的是远控木马中的VIP:盗刷网购账户购买虚拟礼品卡,为了省钱,很多人会尝试各种各样的方法免费获取网盘和视频网站的VIP权限。正因为有这种需求,各种所谓的“网盘不限速神器”或是“VIP助手”也就应运而生了。但这个工具那个助手的真就靠谱么?360互联网安全中心最近就连续接到了两起关于此类程序的举报。

两起举报的程序,一个是“百度网盘不限速工具”,而另一个则是“全网VIP解析助手”(视频网站VIP工具),而举报的原因全都是——自己莫名其妙的就购买了多张iTunes电子礼品卡。

以其中“百度网盘不限速工具”为例,现在依然可以在搜索引擎中轻松搜索到相关信息:

俗话说“做戏要做足”,这个木马还是挺专业的。如果你下载回来之后直接运行这个破解工具,其实是什么都不会发生的——因为他会查找百度网盘的进程:

如果找不到百度网盘进程,就直接退出了,什么都不做。

而一旦存在有BaiduNetdisk.exe的进程,便会发起一个HTTP请求确认版本。

然后会顺手patch一下BaiduNetdisk.exe的进程,但是不是真的能加速就不得而知了。不过这也不是重点,重点是patch完之后,它会继续释放了几个真正的木马文件:

最后再把这个创建的SysteCsrss.exe跑起来

释放的三个程序,其实是一个比较典型的白利用远控木马。首先,SystemCsrss.exe带有“北京世纪奥通科技有限公司”的签名。

而改程序启动的时候,导入表会自动加载那个libcef.dll:

其次,这个libcef.dll实际上也只是一个Loader。一旦执行,回去加载并执行最后释放的那个名为data.lnk的ShellCode

运行起来之后,其实就是个普通的远控了——先是从一个服务器上拿到了远控上线域名:

之后就是远控上线,接受黑客控制:

最终,在受害人机器上展示出的现象就是在用户离开的时候,黑客利用远控程序向受害人机器下达命令,创建了一个新的管理员权限用户,再利用微软自带的远程桌面功能登录受害人机器(这样方便黑客使用图形界面操纵受害人机器):

并在完全不知情的情况下使用受害人账户购买了多张iTunes电子礼品卡:

实际上该程序早已被360识别并查杀了:

而用户之所以中招,是因为用户有时太相信所谓的辅助工具被杀毒软件“误报”是正常现象,所以选择了自行将木马程序加入了白名单中:

借此机会提供广大用户,360不会随便误报所谓的“外挂”或“辅助工具”,报毒一定有原因,为了自己的财产安全,请一定要相信安全软件的“判断力”。

原文发布时间为:2017年5月20日
本文作者:xiaohui 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
原文链接

远控木马中的VIP:盗刷网购账户购买虚拟礼品卡相关推荐

  1. 远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流

    本文讲的是远控木马上演白利用偷天神技:揭秘假破解工具背后的盗刷暗流,如今,不少人为了省钱,会尝试各种免费的方法获取网盘或视频播放器的会员权限,网上也流传着不少"网盘不限速神器"或者 ...

  2. [网络安全自学篇] 九十.远控木马详解及APT攻击中的远控和防御

    这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步.前文分享了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进 ...

  3. 安全研究人员发现:Nanocore等多个远控木马滥用公有云服务传播

    前言 攻击者越来越多的采用云来构建自己的基础设施,这样不仅能够使攻击者以最少的时间或金钱部署攻击基础设施,也能让追踪攻击行动变得更困难. 从 2021 年 10 月 26 日开始,研究人员发现多个远控 ...

  4. “白加黑”远控木马技术分析及手杀方案

    "白加黑"是民间对一种DLL劫持技术的通俗称呼,现在很多恶意程序利用这种劫持技术来绕过安全软件的主动防御以达到加载自身的目的,是目前很火的一种免杀手段.本文将针对此类病毒做了一个简 ...

  5. msf之msfvenom的使用—使用Kali渗透工具生成远控木马

    一.先解释一下 msfvenom取代了msfpayload和msfencode,常用于生成远控木马,在目标机器上执行后门,在本地机器kali中监听上线. (注意:msfvenom是在shell里使用的 ...

  6. “大灰狼”远控木马分析及幕后真凶调查

    9月初360安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序. 鉴于bt天堂电影下载网站 ...

  7. 移花接木大法:新型“白利用”华晨远控木马分析

    360安全卫士 · 2015/05/28 5:11 0x00 前言 "白利用"是木马对抗主动防御类软件的一种常用手法.国内较早一批"白利用"木马是通过系统文件r ...

  8. 控制指令高达二十多种:远控木马Dendoroid.B分析报告( 转)

    控制指令高达二十多种:远控木马Dendoroid.B分析报告 IT社区推荐资讯 - ITIndex.net Apr 24 近期,360团队截获了一款功能强大的专业间谍软件,它可以通过PC端远程控制中招 ...

  9. BT天堂网站挂马事件后续:“大灰狼”远控木马分析及幕后真凶调查

    9月初安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序. 鉴于bt天堂电影下载网站访问量 ...

最新文章

  1. 中间层体系结构的好处
  2. 设计模式原则篇:(1)单一职责原则--Single Responsibility Principle
  3. python2.7调用mysql存储过程并且返回结果
  4. 在SAP云平台的API portal里创建和管理API
  5. bzoj1385: [Baltic2000]Division expression
  6. 简述垃圾对象产生_使用零垃圾创建数百万个对象
  7. wordpress 删除自定义字段
  8. 【牛客 - 82B】区间的连续段(贪心,建图,倍增)
  9. Android蓝牙开发浅析
  10. Confluence 6 SQL 异常的问题解决
  11. hdu6110:路径交
  12. Hamcrest 精萃
  13. 现场知识竞赛如何用手机做抢答器
  14. 计算机桌面显示图标字体怎么变大,电脑桌面字体图标变大了怎么办
  15. Adobe Flash Player已不再受支持 解决方案
  16. 在火狐3中安装google工具栏
  17. EV: 致新教育萤火虫父母们
  18. tinyMediaManager 群晖 docker
  19. 针对教育和软件行业的多平台Java勒索软件分析
  20. 【模电】第十章、信号处理与信号产生电路(振荡电路)

热门文章

  1. language model with pointer network
  2. Praat之基频分析
  3. paddle报ValueError: (InvalidArgument) Pass tensorrt_subgraph_pass has not been registered
  4. POJ 1279 Art Gallery
  5. nfs服务器之间实现目录共享
  6. 如何打造业务系统的数据生产力
  7. Dungeon Master--POJ 2251
  8. 雷电模拟器忘记锁屏密码了怎么办?
  9. Ceres库,从入门到放弃
  10. 爬虫--验证码,代理IP池