只需一步，快速开始
后使用快捷导航
又发现一款dnf病毒外挂，貌似很多人中招了
该用户从未签到
马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。
才可以下载或查看，没有帐号？
今天在3996论坛，看到一款dnf辅助，顶的人很多~于是下来看看。没想到居然是一个灰鸽子病毒，还好我使用外挂之前都有上传火眼的习惯。不然就中招了。7月9号发布的，居然没人反馈是中毒。貌似应该很多人中招了，还好我发现的早，举报管理人，管理员怒送我200积分。
以下是这个帖子的地址：http://bbs.3996.com/read.php?tid=2543792&page=1
1.jpg (77.34 KB, 下载次数: 18)
16:59 上传
dnf进程都不查找一看就不是外挂，而且危险行为也写的很详细了，我想基本懂点电脑的人都能看得懂了吧。
火眼地址：http://fireeye.ijinshan.com/analyse.html?md5=1b40f716d092cdbeaaf31dd46e1526b6
火眼看来是识别假外挂的利器啊
hacker.com.cn.exe，这文件名碉堡了！
这老几，直接把黑基的灰鸽子，改都不改，直接放出来，真厉害。
文件名称：server.exe文件哈希：1b40f716d092cdbeaaf31dd46e1526b6文件大小：761344字节创建时间： 11:50:44文件类型：EXEPEID信息：Borland Delphi 6.0 - 7.0
对本报告内容评价打分：
当前平均分: 5.0 ( 1次打分) 谢谢参与
-5 -4 -3 -2 -1 0& &1 2 3 4 5
对本报告中提及的样本威胁性打分：
当前平均分: -5.0 ( 1次打分) 谢谢参与
-5 -4 -3 -2 -1 0& &1 2 3 4 5
[color=rgb(253, 85, 85) !important]行为描述：启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程
附加信息：IEXPLORE.EXE行为描述：非法注入系统进程，绑定***端口，疑似后门
附加信息：疑似灰鸽子远控后门行为描述：运行后删除自身，警惕恶意软件！
附加信息：无行为描述：尝试连接疑似黑客主机，该行为常见于灰鸽子一类远控后门
附加信息：无
行为描述：拷贝自身到其他目录
附加信息：%windir%\Hacker.com.cn.exe行为描述：创建互斥体
附加信息：&Hacker.com.cn_MUTEX&行为描述：查找文件
附加信息：&%ProgramFiles%\Internet Explorer\IEXPLORE.EXE&&%windir%\*.dat&&%windir%\Hacker.com.cn.exe&&%windir%\uninstal.bat&&D:\Vir&行为描述：设置文件属性
附加信息：&%windir%\hacker.com.cn.exe& && HIDE && SYSTEM行为描述：创建服务
附加信息：%windir%\Hacker.com.cn.exe行为描述：启动指定服务
附加信息：%windir%\Hacker.com.cn.exe行为描述：提升权限
附加信息：&SeDebugPrivilege&
[td]操作文件MD5文件大小文件路径释放后删除b6d26d24a62c8d6b04f4a84%windir%\uninstal.bat释放后删除1b40f716d092cdbeaaf31dd46e1526b6761344%SampleStore%\server.exe新增1b40f716d092cdbeaaf31dd46e1526b6761344%windir%\Hacker.com.cn.exe
创建进程：无
启动参数：%ProgramFiles%\Internet Explorer\iexplore.exe创建进程：无
启动参数：%windir%\uninstal.bat
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn[DisplayName] = [GrayPigeon_Hacker.com.cn]
[ImagePath] = [%windir%\Hacker.com.cn.exe]
[ErrorControl] = [0x]
[Type] = [0x]
[Description] = [灰鸽子服务端程序。远程监控管理.]
[ObjectName] = [LocalSystem]
[Start] = [0x]HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Enum[NextInstance] = [0x]
[0] = [Root\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000]
[Count] = [0x]HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Security[Security] = [\x01\x00\x14\x80\x90...]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker.com.cn[Description] = [灰鸽子服务端程序。远程监控管理.]
[ImagePath] = [%windir%\Hacker.com.cn.exe]
[ObjectName] = [LocalSystem]
[Start] = [0x]
[ErrorControl] = [0x]
[Type] = [0x]
[DisplayName] = [GrayPigeon_Hacker.com.cn]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker.com.cn\Enum[Count] = [0x]
[0] = [Root\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000]
[NextInstance] = [0x]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker.com.cn\Security[Security] = [\x01\x00\x14\x80\x90...]
网络操作【获取主机信息】a22.org
【连接主机】a22.org:8000
楼主好习惯，不知道多少人已经被搞了
这个帖子不错，大家快来顶起来！
逛了这许久，何不进去瞧瞧？
Powered by
关注我们：