查看: 2091|回复: 11
今天遇到一个木马文件，想知道他会获取我电脑上的什么信息。求大神！！！
阅读权限20
不知道有大神可以分析出来不？详细跟我说说？拜谢了！！！
木马文件的链接：
链接: /s/1jIyE9Rg 密码: be86
综合分析看来确实是反向链接的远控木马，想获得什么恐怕都可以，会生成子文件于下面分析的路径下，添加注册表服务开机自起，并调整权限
该文件开发语言：Microsoft Visual C++ 6.0
保护壳 ：upx
子文件数为4
关键行为如下：
创建系统服务
Bcdefg Ijklmnop Rst, C:\WINDOWS\lynbye.exe
隐藏窗口创建进程
ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = "C:\WINDOWS\system32\cmd.exe" /c del C:\DOCUME~1\ADM
创建新 ...
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限20
本帖最后由 MAXtoDEATH 于
11:04 编辑
综合分析看来确实是反向链接的远控木马，想获得什么恐怕都可以，会生成子文件于下面分析的路径下，添加注册表服务开机自起，并调整权限
该文件开发语言：Microsoft Visual C++ 6.0
保护壳 ：upx
子文件数为4
关键行为如下：
创建系统服务&&Bcdefg Ijklmnop Rst, C:\WINDOWS\lynbye.exe
隐藏窗口创建进程&&ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = &C:\WINDOWS\system32\cmd.exe& /c del C:\DOCUME~1\ADM
创建新文件进程 ImagePath = C:\WINDOWS\lynbye.exe, CmdLine = C:\WINDOWS\lynbye.exe
创建本地线程 lynbye.exe, InheritedFromPID = 656, ProcessID = 1188, ThreadID = 1796, StartAddress = 77DC3519（线程有十个左右，就不一一列举了）
查找文件 FileName = C:\Documents and Settings
查找文件 FileName = C:\Documents and Settings\Administrator
查找文件 FileName = C:\Documents and Settings\Administrator\Local Settings
建立到一个指定的套接字连接 URL: , IP: **.184.17.**:9444, SOCKET = 0x
按名称获取主机地址 gethostbyname: a.****om
启动系统服务 LocalSystem, Bcdefg Ijklmnop Rstuvwxy Bcde, C:\WINDOWS\lynbye.exelz你还在吗、、、
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限20
本帖最后由 微笑丶纯属礼貌 于
00:34 编辑
你没玩过啊，就是控制你的电脑，他想获取什么就获取什么，最值钱的就是你的上网帐号，可以卡钻，充Q币，QQ密码那些有加密一般人破不了，银行的才牛B网站都加密了密码使用了几千位密匙。简单的来说所有的木马就是控制电脑的，所有的木马都一样，不会只针对你一个人，或者特定的文件或扩展名，如果不是为了控制他就不能叫木马了，就是控制你的电脑，需要的话还可以上传个破坏病毒，吧你电脑破坏了，就是木马操作的那个人，在控制你的电脑，你的电脑就是个傀儡任人宰割懂了不
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限20
这个是易语言木马的源码：/0ea63cf8296cd27fecae73c
你可以拿去研究，学习下，请勿用于非法用途，
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限20
这个是易语言木马的源码：/0ea63cf8296cd27fecae73c
你可以拿去研究，学 ...
你发的这个源码，里面的那个&&远程源码.rar的，你有研究过吗？看了下，有个问题不懂，能问你吗？
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限20
这个是易语言木马的源码：/0ea63cf8296cd27fecae73c
你可以拿去研究，学 ...
用主控端要生成被控端程序的时候，他说配置文件不在，看了下代码，是那个cache.data不在，这个怎么破？总感觉那个.data文件应该是被控端的代码？怎么生成data呢？
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限25
你没玩过啊，就是控制你的电脑，他想获取什么就获取什么，最值钱的就是你的上网帐号，可以卡钻，充Q币，QQ ...
这句话我不同意，你那个单单指远控，木马还有其他品种，也不是所有的木马都一样
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限20
什么都可以。需要远控可以联系我。
这个东西到真不敢玩，如果有源码倒是很想借用一下
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
求更新一下短信轰炸起
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限20
求更新一下短信轰炸起
论坛禁止发布轰炸机了
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
免责声明：吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，购买注册，得到更好的正版服务。
( 京ICP备号 | 京公网安备 87号 )
Powered by Discuz!
Comsenz Inc.病毒木马的基本防御和解决_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
病毒木马的基本防御和解决
上传于|0|0|暂无简介
阅读已结束，如果下载本文需要使用2下载券
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩1页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢内容字号：
段落设置：
字体设置：
精准搜索请尝试：
央视曝光：360认证木马图片，点击后支付宝被盗
来源：作者：-责编：弥尘
就在今年的春晚上，支付宝、微信、手机QQ之间的红包大战战火纷飞、硝烟弥漫。一场猴年春晚的红包大战下来，砸了2个多亿的支付宝是否撬动了微信的地位我们不得而知。但是，就在年前，在淘宝上做生意的商家被一帮小毛贼给盯上了，财大气粗的支付宝公司竟因此背上了“黑锅”。2015年1月，温州市瑞安市公安局接到一起报案，报案者不是旁人，正是支付宝公司，说很多商家的钱莫名其妙地被转走了，支付宝公司只好先行赔付。淘宝用户邹品林在不到四分钟的时间内被转走了4900多元。像邹品林一样莫名其妙被盗的一共有19人，其中最多的一笔高达三万多，最少的只有七百多元。小偷把钱给偷走了，支付宝公司却要赔偿被偷者的损失。支付宝公司当然不干啦，于是它们就查这钱的去向。那这么多人的钱到底是怎么被盗的呢？受害人说他们都是收到购买信息，问他们能不能按照图片要求来支付，他们同意后，对方就说要加QQ好友，然后通过QQ发了一个文件过来。一般来说在淘宝支付宝交易都有统一的支付流程，那这个有些奇怪的买家为什么要独辟蹊径呢？他发来的到底是什么文件呢？他们发来的不过是一张普通得不能再普通的图片，但是你要想打开这张图片却怎么也打不开，因为它根本就不是图片文件，而是一个后缀名为EXE的可执行文件，这就是我们常说的木马病毒文件。而正是这张伪装成图片的木马程序把19位淘宝店主的钱给偷走了，那么这木马病毒文件究竟是怎么来的呢？它又是用什么方法来偷盗这些淘宝店主钱财的呢？在现实社会中，一个人只有一个名字。可是在网络世界里，却可以拥有多种称呼，因此要在网络世界查找一个人谈何容易。再狡猾也会留下蛛丝马迹，瑞安网警通过技侦手段最后锁定了一位名叫庄迁日的犯罪嫌疑人，并对其进行了抓捕。庄迁日落网了，对自己发木马窃取钱财的犯罪事实他是供认不讳，那么他究竟是怎么用什么方法来实施盗窃的呢？犯罪嫌疑人在淘宝上找到淘宝商家购买东西，然后以有没有这样的商品为理由，把伪装成照片的木马程序发给淘宝商家。当商家点开图片后，木马程序就被安装到了商家电脑里。然后犯罪嫌疑人再次找到商家，以商品不合适为理由申请退款。于是就在商家接受申请，并输入支付宝密码的时候，木马的后台程序就自动把支付宝密码记录了下来。犯罪嫌疑人就这样轻松的盗取了淘宝商家的支付宝密码，而支付宝账号里的钱也就轻松的转到了犯罪嫌疑人的账号里。但是对于瑞安警方来说，事情可没这样简单，两个疑问一直盘旋在他们心里。一是，这庄迁日只有小学毕业，对计算机也是一知半解。这木马程序他是从何而来？二是，大部分电脑都装了杀毒软件，这木马病毒一安装就会被拦截，哪这木马程序是怎么躲过重重关卡的呢？针对这两个问题，瑞安网警仔细盘问了庄迁日。他告诉警方，木马病毒之所以能顺利骗到淘宝商家的秘密。这个木马病毒会被常见的杀毒软件查杀，唯独安装360杀毒软件不能查杀。因为它的木马病毒是申请了360的免杀认证的。否则就不能使用，甚至是偷不到钱。庄迁日告诉瑞安警方，给他做这360认证的是一位网名叫“碎花洋群的优雅”的网友，根据这个信息，警方在厦门抓获了一个叫姜永志的犯罪嫌疑人。他交代确实给木马病毒做过免杀认证。只有初中文化的姜永志其实并不怎么懂技术，为什么他会这认证免杀呢？据姜永志交代是因为他们公司就是开发软件的，每一个软件出来，都要做360的认证。他只不过是利用公司的有利条件帮庄迁日他们做个认证而已，而自己从中赚个小钱，多少钱呢？认证一次，一千元。有了姜永志帮做的360认证，伪装成图片的木马病毒就可以畅通无助。再也不会出现拦截提示，或者干脆是被直接截杀的可能。在电脑系统看来这文件已经是免检产品。免杀让木马病毒畅通无助，但这木马病毒又是哪里来的呢？庄迁日告诉警方这木马病毒和后台程序来源于一位网名叫dark knight（黑暗骑士）的网友，木马病毒和后台程序是黑暗骑士租赁给他的。根据庄迁日提供的线索，结合他和这位黑暗骑士的聊天记录，瑞安网警很快就查出木马病毒和后台程序提供者的地址和姓名。警方抓获了福州人吕宝姬。他承认木马程序是他开发的。在瑞安警方看来，抓到吕宝姬。利用木马病毒和后台程序进行盗窃的链条已经是寻到根了。可是让警方没想到的是，吕宝姬告诉警方，木马病毒是他开发的没错。但利用木马病毒起心去偷钱的始作俑者并不是庄迁日，而是另有他人。根据吕宝姬提供的信息，瑞安警方很快在辽宁抓获了网名叫too，真名叫孟宪洋的犯罪嫌疑人。而正是孟宪洋的落网一下让整个案件清晰起来。没有正当职业的孟宪洋喜欢玩网络游戏，在玩游戏的过程中他发现了一个赚钱的门道。他进了一个QQ群，进了这种群之后，孟宪洋发现其实赚钱的门路就是帮他们干活，干什么活呢？发木马。别人挣到钱后就会分一些给他。孟宪洋不甘心帮别人干，想决定单干。他在网上发了一个帖子，要购买木马病毒。很快就有人跟他联系，将代码给他让他测试一下，然后再给钱，但孟宪洋留下了代码没有付钱，他发帖准备找个懂行的人帮他搞定这个代码。孟宪洋发出的贴子很快就有了答复，这个人是谁呢？就是吕宝姬。但吕宝姬也弄不明白这个代码，就答应孟宪洋给他重新开发一个。在吕宝姬看来，孟宪洋提供的所谓源代码已经过时了，360浏览器的杀毒功能很容易识别出来，他能做一个更好的。就这样，孟宪洋这个菜鸟加上吕宝姬这个行家从此就成了一根绳子上的蚂蚱。孟、吕双方达成口头协议，孟宪洋出资两万元由吕宝姬重新开发一个木马程序。而如果仅仅是开发一个程序，可能事情对吕宝姬来说也就仅仅到此为止，可情况却并非如此。吕宝姬并没有将源代码交给孟宪洋，而是孟宪洋用木马偷得钱他都要提两成，孟宪洋每盗窃一万块钱，必须得给他二千块钱，从偷的钱里抽头，这就是为什么法院最终判决时，认定吕宝姬也构成了盗窃罪的原因。有了木马病毒和后台程序，孟宪洋完全就可以单干了，那为什么后来警方发现在实际操作的却是庄迁日呢？他们俩又有什么关系呢？原来孟宪洋并没有自己来操作，而是又在网上发了一个小广告。孟宪洋发出的广告非常诱人。兼职，坐在家里一天就能赚300元。很快就有人应聘了，这人就是庄迁日。孟宪洋给庄迁日下达的任务很简单，就是拉单。一旦庄迁日发送木马成功，孟宪洋就会收到骗来的支付宝账户信息，从而实施转账盗窃。不过为了激励庄迁日，孟宪洋承诺，除了每天300元的固定工资，每偷来一笔钱，分一半给庄迁日。这个木马病毒可是孟宪洋花2万元从吕宝姬那儿买来的，还承诺用偷来的钱给他20%的提成，原因都是因为当初吕宝姬信誓旦旦地说，自己重新写的木马跟得上时代，能躲过360浏览器的杀毒关卡，当孟宪洋告诉吕宝姬你这木马病毒没用。只要一安装，就提示是病毒，这合作没法继续了。一听这话，吕宝姬也顿时慌了手脚。如果木马不能被安装，哪自己那部分钱就没着落了。为了解决认证的这个问题于是吕宝姬就找到了姜永志，答应他每认证一次给1000元，有了姜永志的帮助庄迁日找淘宝商家安装木马的行动才能屡屡得手。到此，四个天南海北的人，把一个看似完美无缺的网络犯罪体系架构完毕了，本想着可以放心大胆地空手套白狼了，可是没想到，也就两个月的时间，这个体系里的一个核心人物却突然失踪了，这又是怎么回事呢？孟宪洋和庄迁日、吕宝姬都是单线联系。而庄迁日和吕宝姬也本来并不认识。可是就在2014年12月底，吕宝姬和庄迁日同时发现联系不上孟宪洋了。通过孟宪洋在淘宝里留下的联系方式，吕宝姬竟然联系上了庄迁日，两人也开始了合作。因为孟宪洋的失踪，庄迁日、吕宝姬、姜永志阴差阳错的走到了一起，那孟宪洋到底去哪呢？答案让人大跌眼镜，他赌博一晚上输了七、八千元钱，心疼得不得了，竟然抑郁症发作，住院去了。正是这种难以填满的欲望，而又不择手段的违法行为。最终把孟宪洋、庄迁日、吕宝姬、姜永志送上了被告席。日瑞安市人民法院对四人做出了如下判决：被告人庄迁日犯盗窃罪，判处有期徒刑三年三个月，并处罚金人民币10000元。罚金限判决生效之日起十日内缴纳。被告人吕宝姬犯盗窃罪，判处有期徒刑三年，并处罚金人民币10000元。被告人姜永志犯非法获取计算机信息系统数据罪，判处有期徒刑一年，并处罚金人民币3000元。要做到不被这无形之贼所害，提醒大家尽量不要在其他人的电脑上登陆一些涉及自己资金的银行卡账号，或者支付宝账号。不要随意打开陌生人发过来的一些文件，此外一些陌生的扫二维码的东西，其实也是下载病毒的一个过程。
大家都在买
软媒旗下软件：
IT之家，软媒旗下科技门户网站 - 爱科技，爱这里。
Copyright (C) , All Rights Reserved.
版权所有 鲁ICP备号