STEAM盗号?QQ盗号?服务器被黑?2019.7.3号病毒分析
前几天有一个朋友发来求助。
说服务器被黑了,添加了一个开机命令。
问我,是不是维护大师的,我说,维护大师是不可能这样添加开机启动的
我说,发文件来我分析一下吧。
https://www.hxwglm.com/data/attachment/forum/201907/13/124236q9fjlkkffgo7nfnf.jpg、
https://www.hxwglm.com/data/attachment/forum/201907/13/124235toajyo6tg7gnz03l.jpg
https://www.hxwglm.com/data/attachment/forum/201907/13/124236kqx4f7x6lml552hf.jpg
从开机启动的程序来看,有点像搞笑啊,WZUPdatesvr.exe 这样看,这个人是想嫁祸给
维护大师,真搞笑啊,维护大师的程序,分没数字签名吗,分没版权信息吗??
所以,这个程序,根本就不是维护大师的!!
应该是服务器被黑了,有人有意添加的。
https://www.hxwglm.com/data/attachment/forum/201907/13/124618ya4zzeos3z3nn4j6.jpg
脱壳,分析:
https://www.hxwglm.com/data/attachment/forum/201907/13/125048hxexul0xmhq2ttlo.jpg
http://xiaobaidd.top/n/getfile1.php获取文件,上传文件,
获取STEAM窗体,是否是登入窗体 STEAMLogin
https://www.hxwglm.com/data/attachment/forum/201907/13/125302ot55gyjtc5wkwkg9.jpg
获取QQKEY,QQ cookies并且上传
https://www.hxwglm.com/data/attachment/forum/201907/13/125625qix13yy1y3zb3rdy.jpg
然后判断,是64位还是32位系统,然后获取STEAM注册表路径,然后获取帐号等信息
因为大家都知道,STEAM成功登入后,会在注册表里,留下帐号信息然后我们再进一步分析
他启动后,会链接这个IP
156.239.159.45:8000
然后再释放3个文件!
server.exe
wzUpdateSvr.exe
svchost.exe
大家可以安装好,我们的病毒检测工具,最高程度的来防止网吧被盗号
https://www.hxwglm.com/thread-38061-1-1.html
更多精彩:客户机广告?盗号?服务器被黑?
网吧生意好吗?您网吧占几条?
【V2】CPU/显卡/信息修改工具!支持有盘/无盘/win7/win10/所有无盘/本地驱动/pnp/
QQ网吧MAC,机器号提取工具(雲无盘版)
近期《英雄联盟》不怎么稳定,2019.5.30
云无盘?卡还是不卡?好还是不好?
(VIP软件)显卡型号修改工具V1.0 BY 华夏网盟
网吧全套视屏教程,从0基础到有盘无盘教程!整个网吧的开业到正常营业!
【VIP软件】网吧硬件监控软件,温度/风扇/CPU/显卡/网卡速率 by 华夏网盟
【抽奖活动】VIP教程/解决网吧叫卡,玩游戏卡顿,掉FPS等问题系列教程|2019VIP教程更新|
自动添加360极速浏览器到桌面,并且设置主页,设置默认
解决STEAM在ATI显卡在PNP下启动慢的问题!
有效防止STEAM盗号!服务器被黑入侵检测工具!5.1号更新盗号病毒的简单分析并拿到后台高清壁纸收集工具19年3月14号更新V3!—华夏网盟
【VIP软件】QQ网吧服务端假死解决工具V1 by:华夏网盟
公司数据管理软件V9.0.5《网络版》发布_By:华夏网盟
【vip软件】超强结束进程工具BY华夏网盟
《Apex英雄》报错率最小的安装方式
【VIP软件】360极速浏览器网吧专版V5.0 BY:华夏网盟2019.1.18
页:
[1]