时间 | 诱饵名称 |
2020/9/3 | 商户开户资料txt56025.exe |
2020/9/2 | 管理制度.exe |
2020/9/1 | 公司薪资调整方案.exe |
2020/8/27 | 公司 新规章制度.com |
2020/8/27 | 最新支付风控提示注意事项.com |
2020/8/22 | 违规会员列表.exe |
2020/8/15 | V I P 会员表l.com |
2020/8/12 | 维护通知请注意下发.bat |
2020/8/8 | x项.com |
2020/8/4 | 9. VIP 资料表..com |
2020/7/29 | 1. 【出账目录】.com |
2020/7/25 | 最新风控事项BO-2020-07-14.com |
公司名称 | 白 | 黑 |
Shandong Anzai Information Technology CO.,Ltd. | Nsec.exe | NFPCore.dll |
厦门多帆 *** 科技有限公司 | DingDebug.exe | wke.dll |
上海幻电信息科技有限公司 | DingDebug.exe | bililive.dll |
pdb信息 |
C:\collector\Release\collector.pdb |
F:\YK\KK\KB\FJC\6-17\DDMC\21-内存加载下载TT\Release\下载.pdb |
F:\YK\KK\KB\FJC\6-17\DDMC\21-内存加载下载\x64\Release\下载.pdb |
D:\Administrator\Desktop\网易CC\collector\Release\collector.pdb |
D:\Document And Settings2\Administrator\collector\x64\Release\collector.pdb |
母体主要通过从数据段释放dll,加载到内存之后,紧接着联网下载“永硕云盘”的伪装JPG。
这些文件的主要功能为:首先启动Nsec.exe;紧接着通过运行run.ps1(一连串url关联,最终使用zr.exe进行压缩)将原本路径C:\Users\Public\Documents"随机字符串"\Microsoft\Windows\Start Menu\Programs\Startup\NSec.link压缩为111.zip,并保存在C:\ProgramData\Microsoft\文件中,以便之后通过远控交互进行修改文件,从而使木马持久化;最后删除掉H3F11文件夹,“消灭罪证”,使病毒更加隐蔽。至此,母体程序运行结束。
NSec.exe侧加载NFPCore.dll文件,通过对母体释放的kk.txt进行解密、解压缩,并加载到内存。
远控模块首先将进程优先级设置为更高,接着与服务器vip.bzsstw.cn连接并解析指令。在早期的一些病毒样本中,母体释放了kk.log,而不是kk.txt,其在初始化中创建批处理程序保证当前木马程序一直处于运行当中。
接收指令 | 使用插件中的函数 | 操作 |
0x1 | DllFile | 获取各个磁盘容量 |
0x4 || 0xa2 | 修改使用的插件 | |
0x8 | 更改窗口管理器以能够控制窗口 | |
0x9 | 提权以管理员模式运行此程序 | |
0xA | 关闭exporer.exe进程 | |
0xB | 删除用户chrome usrdata数据 | |
0xC | fnproxy | 使用 *** |
0x15 | Dllscreen | 截取屏幕 |
0x24 | 监控键盘输入 | |
0x2A | DllSyste | 获取进程以及模块信息 |
0x36 | DllMsgBox | 弹窗报错 |
0x37 | 修改分组 | |
0x38 | DllShell | 创建远程控制cmd |
0x39 | 关闭指定窗口 | |
0x3A | 删除相关文件 | |
0x3B | 清除日志 | |
0x3C | 获取主机信息 | |
0x3e | 从 *** 上下载可执行文件,并执行 | |
0x3f | 运行云控下发数据 | |
0x40 | 运行云控下发数据,同上 | |
0x41 | 更新插件 | |
0x42 | DllOpenUrlHide | 隐藏打开IE浏览器 |
0x43 | DllOpenUrlShow | 显式打开IE浏览器 |
0x44 | 修改域名 | |
0x45 | 等待事件运行结束退出,否则强制退出 | |
0x46 | DllSerst | 获取服务器信息 |
0xA1 | ConnSocks | 连接服务器 |
在上图中,在“使用插件中的函数”一列中,展示了某些指令在插件中调用的函数接口。此木马已经实现插件化,并实现多种远控功能。组合使用危害更大,比如删除用户浏览器数据信息(cookies等),使得用户在下次登陆时必须再次输入用户名和密码,并通过监控键盘输入和截屏操作,对受害者的个人隐私进行获取。
总结:
尽量不要点击来源不明的邮件和可执行文件;
不要从事博 彩等违法行为;
提高个人安全意识;
电脑上及时安装金山等杀毒软件,对预警的病毒及时清理。
06092437577f00d538a38574ecf456bb
02ff3f0c9af5bc29476856f8c61f4335
9a3d89b6e0927a457ac01fb23505ab6f
fb8052a34dbfba14687ce7be8854edd2
65e768553b2c566b2dec6a9cdde95aec
23412dfbedf25ce434ea02bbfb9ae960
b9811e8adbb334693ecd8553443d3b91
2ca5e1effc55b48e4fa19b4d119da4e6
c5fabe2eba9bab8c23598ee2f4a0ecad
c3b2e91531bee2f8f796fe61af01ea14
50bec172eb2e6b2890d08da33110098b
340ecfc644f72bb33d980d2413909010
d0e86e44ba3beb1d4420d3b4ac4c54c8
f041ce7c84973b978a7f1f2f4de50553
HACK黑客常用哪些工具 1、Hackode是一款Android应用,其基本上属于一整套工具组合,主要面向高阶黑客、IT专家以及渗透测试人员。在这款应用当中,我们可以找到三款模块——Reconnais...
本文导读目录: 1、我的世界菜鸟,菜鸟大战实体303的,以那一集叫什么? 2、我的世界联机盒子黑客秘籍 3、我的世界一个菜鸟和joe的搞笑视频全集在哪里看,给地址 4、今年的世界黑客大赛到...
这是前段时间一个抖友问的问题, 本来我是不想回答这个问题的,因为我也没有赚到大钱,一个没赚到大钱的人跟你谈赚大钱那不是扯淡吗? 就没想这个事了。 刚刚准备写文章,看到桌子上几张材料纸,...
很多人要想根据自己创业来增加利润,实际上身旁早已有许多事例,她们根据自主创业完成了发财致富。可是很多人做为自主创业初学者,一时间不清楚挑选哪一种创业好项目比较好。那麼有什么比较好做的青年人创业新项目呢...
相信现在有很多的朋友们对于恒盛尚海湾豪庭的房子如何办理房产证流程是怎么样的呢都想要了解吧,那么今天小编就来给大家针对恒盛尚海湾豪庭的房子如何办理房产证流程是怎么样的呢进行一个介绍吧,希望小编介...
宝宝洗衣液哪一种比较好,现在市面上的婴儿洗衣液品牌很多,妈妈们不知道选择什么样的宝宝洗衣液比较合适,其实根据不同的价位,需求,妈妈们选择适合自己的才是最重要的,本文将对2017主流宝宝洗衣液进行评测,...