只需一步，快速开始
后使用快捷导航
又发现一款dnf病毒外挂，貌似很多人中招了
该用户从未签到
马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。
才可以下载或查看，没有帐号？
今天在3996论坛，看到一款dnf辅助，顶的人很多~于是下来看看。没想到居然是一个灰鸽子病毒，还好我使用外挂之前都有上传火眼的习惯。不然就中招了。7月9号发布的，居然没人反馈是中毒。貌似应该很多人中招了，还好我发现的早，举报管理人，管理员怒送我200积分。
以下是这个帖子的地址：/read.php?tid=2543792&page=1
1.jpg (77.34 KB, 下载次数: 18)
16:59 上传
dnf进程都不查找一看就不是外挂，而且危险行为也写的很详细了，我想基本懂点电脑的人都能看得懂了吧。
火眼地址：/analyse.html?md5=1b40f716d092cdbeaaf31dd46e1526b6
火眼看来是识别假外挂的利器啊
.cn.exe，这文件名碉堡了！
这老几，直接把黑基的灰鸽子，改都不改，直接放出来，真厉害。
文件名称：server.exe文件哈希：1b40f716d092cdbeaaf31dd46e1526b6文件大小：761344字节创建时间： 11:50:44文件类型：EXEPEID信息：Borland Delphi 6.0 - 7.0
对本报告内容评价打分：
当前平均分: 5.0 ( 1次打分) 谢谢参与
-5 -4 -3 -2 -1 0& &1 2 3 4 5
对本报告中提及的样本威胁性打分：
当前平均分: -5.0 ( 1次打分) 谢谢参与
-5 -4 -3 -2 -1 0& &1 2 3 4 5
[color=rgb(253, 85, 85) !important]行为描述：启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程
附加信息：IEXPLORE.EXE行为描述：非法注入系统进程，绑定***端口，疑似后门
附加信息：疑似灰鸽子远控后门行为描述：运行后删除自身，警惕恶意软件！
附加信息：无行为描述：尝试连接疑似黑客主机，该行为常见于灰鸽子一类远控后门
附加信息：无
行为描述：拷贝自身到其他目录
附加信息：%windir%\.cn.exe行为描述：创建互斥体
附加信息：&.cn_MUTEX&行为描述：查找文件
附加信息：&%ProgramFiles%\Internet Explorer\IEXPLORE.EXE&&%windir%\*.dat&&%windir%\.cn.exe&&%windir%\uninstal.bat&&D:\Vir&行为描述：设置文件属性
附加信息：&%windir%\.cn.exe& && HIDE && SYSTEM行为描述：创建服务
附加信息：%windir%\.cn.exe行为描述：启动指定服务
附加信息：%windir%\.cn.exe行为描述：提升权限
附加信息：&SeDebugPrivilege&
[td]操作文件MD5文件大小文件路径释放后删除b6d26d24a62c8d6b04f4a84%windir%\uninstal.bat释放后删除1b40f716d092cdbeaaf31dd46e1526b6761344%SampleStore%\server.exe新增1b40f716d092cdbeaaf31dd46e1526b6761344%windir%\.cn.exe
创建进程：无
启动参数：%ProgramFiles%\Internet Explorer\iexplore.exe创建进程：无
启动参数：%windir%\uninstal.bat
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\.cn[DisplayName] = [.cn]
[ImagePath] = [%windir%\.cn.exe]
[ErrorControl] = [0x]
[Type] = [0x]
[Description] = [灰鸽子服务端程序。远程监控管理.]
[ObjectName] = [LocalSystem]
[Start] = [0x]HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\.cn\Enum[NextInstance] = [0x]
[0] = [Root\LEGACY_.CN\0000]
[Count] = [0x]HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\.cn\Security[Security] = [\x01\x00\x14\x80\x90...]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.cn[Description] = [灰鸽子服务端程序。远程监控管理.]
[ImagePath] = [%windir%\.cn.exe]
[ObjectName] = [LocalSystem]
[Start] = [0x]
[ErrorControl] = [0x]
[Type] = [0x]
[DisplayName] = [.cn]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.cn\Enum[Count] = [0x]
[0] = [Root\LEGACY_.CN\0000]
[NextInstance] = [0x]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.cn\Security[Security] = [\x01\x00\x14\x80\x90...]
网络操作【获取主机信息】a22.org
【连接主机】a22.org:8000
楼主好习惯，不知道多少人已经被搞了
这个帖子不错，大家快来顶起来！
逛了这许久，何不进去瞧瞧？
关注我们：帖子882&精华0&积分1298&豌豆0 &阅读权限40&在线时间639 小时&注册时间&最后登录&
大家警惕强行交易外挂,我刚中招了
我刚中招了.发出了喊大家也警惕下,避免上当
我这几天在升逆魔等首饰,所以一直在收烈焰首饰.有个号M我要多少,我说有多少都要反正1:2,于是喊我接单.结果我一点元宝交易师.真的转瞬之间不到0.1秒,提醒交易成功.没有经过确认等步骤,千真万确.号里少了220个元宝.包裹里多了根蜡烛.
每次上线前360保险箱都检查没木马才进游戏.电脑中装了瑞星,360安全卫士和360保险箱.
却没想到也会中招.
只是奇怪,我号上刚冲的240个元宝,收首饰用掉了13个,还有227个.那人怎么这么巧知道我才227个?下单是220个?还是估计电脑有病毒的.
刚杀毒,电脑有是病毒,但是是不是木马我也不清楚.
反正罗嗦半天就提醒下大家,及时升级病毒库勤杀毒小心上当,尤其这个强制交易外挂,真的无法防.瞬息之间的.
宠辱不惊，闲看庭前花开花落；
去留无意，漫随天外云卷云舒。
法道73+70级 法法73+68
帖子352&精华0&积分386&豌豆0 &阅读权限30&在线时间133 小时&注册时间&最后登录&
帖子37812&精华8&积分50551&豌豆3450 &阅读权限150&在线时间27533 小时&注册时间&最后登录&
显然是中了远程
昔有书生携一仆入太行山，仆见道上碑字，误读曰太行山。书生笑曰：杭也，非行也。仆固争久之，因曰：前途遇识者，请质之，负者罚一贯钱。行数里，见一学究授童子书，书生因进问，且告以故。学究曰：太形也。仆大叫笑，乞所负钱。书生不得已与之，然终不释。即别去数十步，复返谓学究曰：向为公解事者，何错谬如是？学究曰：宁可负使公失一贯钱，教他俗子终生不识太行山。
帖子11721&精华1&积分12709&豌豆318 &阅读权限150&在线时间4293 小时&注册时间&最后登录&
你中了QQ黑手,一种通过QQ传播的恶性病毒,建议慎用QQ.
旧瓶新酒，再战江湖○点道&&点击传送：、、、
帖子286&精华0&积分303&豌豆0 &阅读权限30&在线时间51 小时&注册时间&最后登录&
我也中过，强行元宝交易，属于远程操控。。丢失150宝，得了个雷连。呵呵
爱是用来做的 不是用来说的！！！
帖子882&精华0&积分1298&豌豆0 &阅读权限40&在线时间639 小时&注册时间&最后登录&
如果是QQ病毒也是有可能 我是窗口化游戏 边开着QQ的 但是如果是魂峰说的是远程的化也就是灰鸽子了?单靠杀毒是没用呀,要重新装系统了.
郁闷哦,刚爆了14+7龙纹 想收把武器的,结果就被抢走了
宠辱不惊，闲看庭前花开花落；
去留无意，漫随天外云卷云舒。
法道73+70级 法法73+68
帖子142&精华0&积分165&豌豆0 &阅读权限30&在线时间345 小时&注册时间&最后登录&
LZ那几款杀毒工具的确 不怎么样
帖子662&精华0&积分710&豌豆0 &阅读权限40&在线时间437 小时&注册时间&最后登录&
真正的顶级高手就是可以战胜自已的人。其实,玩到最后,你斗的就是你自已。
帖子685&精华0&积分611&豌豆0 &阅读权限40&在线时间269 小时&注册时间&最后登录&
我鬼迷心窍被骗去下外挂，结果和楼主一样，我被搞走200整的元宝，这两天刚弄饺子和炮得了元宝就这么消失了，伤心啊！
无奈啊，十步一杀不改，我只会站在庄园做模特了！
道战能搞点什么技能在1秒内打掉对手5万血？
道士的两个宝宝被打没后，还能做点什么呢？
帖子947&精华0&积分937&豌豆0 &阅读权限40&在线时间105 小时&注册时间&最后登录&
小心啊，这世道。。。。。
帖子258&精华0&积分281&豌豆1 &阅读权限30&在线时间103 小时&注册时间&最后登录&
我也中过.那天号停在藏月睡觉,迷迷糊糊的醒来,怎么号到了庄园,而且正准备交易我的元宝....我马上就一个瞬息飞出庄园...重做了系统,,,,后来我估计是 我下了有人发的 庄园自动***那个外挂,而那个挂 一直用不起,,,,,
帖子237&精华0&积分317&豌豆27 &阅读权限30&在线时间323 小时&注册时间&最后登录&
恐怖，被你吓得我以后上传奇都不敢开QQ了 我也是用传奇窗口玩的。。
帖子1265&精华0&积分1379&豌豆0 &阅读权限40&在线时间649 小时&注册时间&最后登录&
原帖由 魂峰 于
21:42 发表
显然是中了远程
老大就是老大& &直接说出了原因
帖子420&精华0&积分428&豌豆0 &阅读权限30&在线时间203 小时&注册时间&最后登录&
哈哈 肯定是远程 用ESS吧
忆当年，威立于城门之前，红名皆惧，惩奸除恶；叹如今，恶人竟金刚不坏，伤吾自尊，归隐山林
帖子10841&精华0&积分18007&豌豆1502 &阅读权限90&在线时间838 小时&注册时间&最后登录&
[通过 QQ、MSN 分享给朋友]后使用快捷导航没有帐号？
查看: 2121|回复: 41
新人欢迎积分0 阅读权限10积分10精华0UID6758758帖子金钱3 威望0
Lv.1, 积分 10, 距离下一级还需 5 积分
UID6758758帖子威望0 多玩草10 草
今天在雪山，300W收碎片，突然一人M我说他朋友卖，但他朋友不在线，要我加他QQ，QQ上说给我看他卖的是不是我要的，然后QQ上面截图给我，然后发沙漏的图标给我。【那个沙漏的图标是他们提前做好的，为下一步准备】，后来说他电脑卡，给我压缩文件，说是截图，其实是强制交易挂，杀毒软件没报警，我就放松警惕，打开了，后来线上交易，他说摆摊我买，谁知道。。。。鼠标不听使唤，就这样。300W没了。不知道有多少人被骗了。最后一句！我入骗子全家，出门被车撞死，一脚踩空掉进阴沟摔死，天下掉盆景砸死你，报骗子QQ：
新人欢迎积分1 阅读权限40积分992精华0UID7119371帖子金钱1224 威望0
Lv.4, 积分 992, 距离下一级还需 8 积分
UID7119371帖子威望0 多玩草10 草
中木马了，远程控制~~
新人欢迎积分1 阅读权限40积分991精华0UID7435388帖子金钱697 威望0
Lv.4, 积分 991, 距离下一级还需 9 积分
UID7435388帖子威望0 多玩草90 草
谢谢提醒。。可恶的骗子。。
第一次要轻点
新人欢迎积分0 阅读权限50积分1929精华0UID7435219帖子金钱1797 威望0
Lv.5, 积分 1929, 距离下一级还需 571 积分
UID7435219帖子威望0 多玩草10 草
这东西早就出来了，加QQ你就等杯具吧
新人欢迎积分1 阅读权限50积分1722精华0UID7574021帖子金钱1366 威望0
Lv.5, 积分 1722, 距离下一级还需 778 积分
UID7574021帖子威望0 多玩草10 草
我QQ从来不加来历不明的人
狂风暴雨后的平静
新人欢迎积分1 阅读权限50积分1248精华0UID1400192帖子金钱1624 威望-2
闭关悔过的边荒浪人
Lv.5, 积分 1248, 距离下一级还需 1252 积分
UID1400192帖子威望-2 多玩草10 草
300W的东西搞这么麻烦，这家伙是真聪明还是脑袋残疾？
新人欢迎积分0 阅读权限70积分5771精华0UID838496帖子金钱9632 威望1
少(しょう)?(けつ)
Lv.7, 积分 5771, 距离下一级还需 4229 积分
UID838496帖子威望1 多玩草10 草
杯具啊& &这招貌似不是上过DNF首页吗& &LZ居然也中招
新人欢迎积分1 阅读权限80积分11652精华0UID5675343帖子金钱33941 威望6
玩个游戏而已，何必那么费劲。 ... ...
Lv.8, 积分 11652, 距离下一级还需 8348 积分
UID5675343帖子威望6 多玩草421 草
挺搞笑的* C1 u- L4 T4 T* w/ ~
什么强制交易挂，还鼠标不听使唤
就是一个远程控制的软件+ r( z. b0 _" @0 t4 d
呵呵; C) L5 w0 h3 y
不要接陌生人的文件，遇到此事应马上手动关机。。
立旗狂魔Erika
新人欢迎积分0 阅读权限90积分20955精华0UID6579752帖子金钱60077 威望1
?法兰西FFF团政委?
Lv.9, 积分 20955, 距离下一级还需 14045 积分
UID6579752帖子威望1 多玩草987 草
遇到这种情况，立刻硬重启或直接拔插头 & ~. [# ~' m2 n2 l6 o- }5 l9 C
新人欢迎积分0 阅读权限40积分935精华0UID7052660帖子金钱1647 威望0
Lv.4, 积分 935, 距离下一级还需 65 积分
UID7052660帖子威望0 多玩草10 草
你不会把碎片图发给他？压缩你也接
骑士--永远的守护者
新人欢迎积分0 阅读权限60积分3881精华0UID6996311帖子金钱2379 威望0
全修娱乐流白手
Lv.6, 积分 3881, 距离下一级还需 1119 积分
UID6996311帖子威望0 多玩草10 草
买东西从不加q，走正规渠道
新人欢迎积分1 阅读权限70积分8464精华0UID3541842帖子金钱9391 威望7
老子就是传说中的赵麻子！ ...
Lv.7, 积分 8464, 距离下一级还需 1536 积分
UID3541842帖子威望7 多玩草72 草
加QQ这种老把戏楼主都信。汗死了
新人欢迎积分0 阅读权限50积分1454精华0UID3359000帖子金钱2851 威望0
Lv.5, 积分 1454, 距离下一级还需 1046 积分
UID3359000帖子威望0 多玩草150 草
我遇到一个跟你这差不多的1 G' B( a( D8 l$ G! b/ r( y
这是传送门
сｈｒī s
新人欢迎积分0 阅读权限40积分455精华0UID777064帖子金钱59 威望0
Lv.4, 积分 455, 距离下一级还需 545 积分
UID777064帖子威望0 多玩草34 草
灰鸽子之类的而已 4 I# W6 \1 v* r8 y1 q
之后加壳加指令做了免杀& b3 v2 P& T&&H/ N: |! S
简单的东西 劝你立马重装系统
不然还会给盗
新人欢迎积分1 阅读权限99积分50746精华0UID4067087帖子金钱83261 威望32
Lv.10, 积分 50746, 距离下一级还需 4254 积分
UID4067087帖子威望32 多玩草946 草
[ddt18] 我收东西都有人M我说他姐姐 哥哥 叔叔 爸爸 大姨妈卖.... 我去 装个B
阳光热情勋章
阳光热情勋章
DNF功勋勋章
DNF功勋勋章
爱情守望者
爱情守望者
初级人缘勋章
初级人缘勋章
解答员勋章
解答员勋章
初级灌水标兵
初级灌水标兵
活动奖励勋章
活动奖励勋章
需要金钱：1100
手机盒子客户端点击或扫描下载
Powered by