dnf不开挂有病毒吗家里没病毒,也不跟其他人...

只需一步,快速开始
后使用快捷导航
又发现一款dnf病毒外挂,貌似很多人中招了
该用户从未签到
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
才可以下载或查看,没有帐号?
今天在3996论坛,看到一款dnf辅助,顶的人很多~于是下来看看。没想到居然是一个灰鸽子病毒,还好我使用外挂之前都有上传火眼的习惯。不然就中招了。7月9号发布的,居然没人反馈是中毒。貌似应该很多人中招了,还好我发现的早,举报管理人,管理员怒送我200积分。
以下是这个帖子的地址:http://bbs.3996.com/read.php?tid=2543792&page=1
1.jpg (77.34 KB, 下载次数: 18)
16:59 上传
dnf进程都不查找一看就不是外挂,而且危险行为也写的很详细了,我想基本懂点电脑的人都能看得懂了吧。
火眼地址:http://fireeye.ijinshan.com/analyse.html?md5=1b40f716d092cdbeaaf31dd46e1526b6
火眼看来是识别假外挂的利器啊
hacker.com.cn.exe,这文件名碉堡了!
这老几,直接把黑基的灰鸽子,改都不改,直接放出来,真厉害。
文件名称:server.exe文件哈希:1b40f716d092cdbeaaf31dd46e1526b6文件大小:761344字节创建时间: 11:50:44文件类型:EXEPEID信息:Borland Delphi 6.0 - 7.0
对本报告内容评价打分:
当前平均分: 5.0 ( 1次打分) 谢谢参与
-5 -4 -3 -2 -1 0& &1 2 3 4 5
对本报告中提及的样本威胁性打分:
当前平均分: -5.0 ( 1次打分) 谢谢参与
-5 -4 -3 -2 -1 0& &1 2 3 4 5
[color=rgb(253, 85, 85) !important]行为描述:启动宿主进程,注入代码,修改EIP执行自己的代码,偷梁换柱,使用户认为是正常的进程
附加信息:IEXPLORE.EXE行为描述:非法注入系统进程,绑定***端口,疑似后门
附加信息:疑似灰鸽子远控后门行为描述:运行后删除自身,警惕恶意软件!
附加信息:无行为描述:尝试连接疑似黑客主机,该行为常见于灰鸽子一类远控后门
附加信息:无
行为描述:拷贝自身到其他目录
附加信息:%windir%\Hacker.com.cn.exe行为描述:创建互斥体
附加信息:&Hacker.com.cn_MUTEX&行为描述:查找文件
附加信息:&%ProgramFiles%\Internet Explorer\IEXPLORE.EXE&&%windir%\*.dat&&%windir%\Hacker.com.cn.exe&&%windir%\uninstal.bat&&D:\Vir&行为描述:设置文件属性
附加信息:&%windir%\hacker.com.cn.exe& && HIDE && SYSTEM行为描述:创建服务
附加信息:%windir%\Hacker.com.cn.exe行为描述:启动指定服务
附加信息:%windir%\Hacker.com.cn.exe行为描述:提升权限
附加信息:&SeDebugPrivilege&
[td]操作文件MD5文件大小文件路径释放后删除b6d26d24a62c8d6b04f4a84%windir%\uninstal.bat释放后删除1b40f716d092cdbeaaf31dd46e1526b6761344%SampleStore%\server.exe新增1b40f716d092cdbeaaf31dd46e1526b6761344%windir%\Hacker.com.cn.exe
创建进程:无
启动参数:%ProgramFiles%\Internet Explorer\iexplore.exe创建进程:无
启动参数:%windir%\uninstal.bat
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn[DisplayName] = [GrayPigeon_Hacker.com.cn]
[ImagePath] = [%windir%\Hacker.com.cn.exe]
[ErrorControl] = [0x]
[Type] = [0x]
[Description] = [灰鸽子服务端程序。远程监控管理.]
[ObjectName] = [LocalSystem]
[Start] = [0x]HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Enum[NextInstance] = [0x]
[0] = [Root\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000]
[Count] = [0x]HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Security[Security] = [\x01\x00\x14\x80\x90...]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker.com.cn[Description] = [灰鸽子服务端程序。远程监控管理.]
[ImagePath] = [%windir%\Hacker.com.cn.exe]
[ObjectName] = [LocalSystem]
[Start] = [0x]
[ErrorControl] = [0x]
[Type] = [0x]
[DisplayName] = [GrayPigeon_Hacker.com.cn]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker.com.cn\Enum[Count] = [0x]
[0] = [Root\LEGACY_GRAYPIGEON_HACKER.COM.CN\0000]
[NextInstance] = [0x]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker.com.cn\Security[Security] = [\x01\x00\x14\x80\x90...]
网络操作【获取主机信息】a22.org
【连接主机】a22.org:8000
楼主好习惯,不知道多少人已经被搞了
这个帖子不错,大家快来顶起来!
逛了这许久,何不进去瞧瞧?
Powered by
关注我们:

参考资料

 

随机推荐