找回密码
 加入网盟
分割线
华夏网管联盟 技术分享 查看内容
GG赞助广告banner

网吧登入QQ和wegame会弹出JD商城—BY E城大叔

2021-1-7 22:39| 发布者: 不离不弃| 查看: 1729| 评论: 3|原作者: laowu3008

摘要: 遇到个别网吧,在客人登入QQ和wegame后,会有概率性或者是100%的出现QQ登入安全提醒,XXXX登入了JD商城,如下图: 这个问题前段时间就遇到的了,当时没有查到来源,因为查着查着,突然正常了,因为现在外面好多不正当的软件都很狡猾,检测到某些工具在客户机上运行了,然后他就自动消失了,这样的现象遇到很多次了,包括昨天晚上,也是查着查着,突然就正常了,不过还好,昨天已经查到了可疑的文件了,所以今天遇到了,查起来就 ...
遇到个别网吧,在客人登入QQ和wegame后,会有概率性或者是100%的出现QQ登入安全提醒,XXXX登入了JD商城,如下图:
1.jpg
这个问题前段时间就遇到的了,当时没有查到来源,因为查着查着,突然正常了,因为现在外面好多不正当的软件都很狡猾,检测到某些工具在客户机上运行了,然后他就自动消失了,这样的现象遇到很多次了,包括昨天晚上,也是查着查着,突然就正常了,不过还好,昨天已经查到了可疑的文件了,所以今天遇到了,查起来就方便多了。

案例1:

可疑文件就是客户机上C盘里temp目录下会有随机名的5位数字的dll文件,如下图:
1.jpg
知道了这样的dll文件后,就在服务端上挂盘放工具抓这样的dll是谁生成的了,抓出来的结果如下,ERIJHIGGH.EXE释放38203.dll
1.jpg
然后看ERIJHIGGH.EXE是谁释放的,这样就清楚了,如下图:
1.jpg
案例2:
也是一样的5位随机名的dll的,先是XXEXE文件注入到explorer.exe里释放wfpu.exe
1.jpg
2.jpg
3.jpg
wfpu.exe释放Qawq.exe
1.jpg
然后Qawp.exe注入到PID10028的svchost.exe里
1.jpg
然后PID是10028的svchost.exe释放5位随机名的dll
1.jpg
虽然遇到的不是同一个软件的,估计应该是他们做的增值是出自同一家公司的。

另外再次感谢我们公司安全的同事!!
鲜花
鲜花
握手
握手
雷人
雷人
路过
路过
鸡蛋
鸡蛋

相关阅读

官方推荐

相关分类

GG赞助广告