找回密码
 加入网盟
华夏网管联盟 技术分享 查看内容

QQ被盗,QQ发广告,服务器被黑病毒分析2020.10.18

2020-10-18 15:32| 发布者: 不离不弃| 查看: 317| 评论: 0|原作者: 不离不弃

摘要: 今天有个朋友联系到我,说营销大师客户端不对,我第一感觉,就是被黑了,因为手法一点也没变,替换,伪装各种网吧常用软件,做为开机命令启动,然后达到盗号,劫持,等目地,分析了很多次,但是这里面有些域名和公司,就不直接说了,IP,等都打码了,望大家理解,怕引起误会。其实也分析到了点有用的东西。 创建时间,就在10.9号!启动后,真实的营销大师会释放生成在 c:\windows\营销大师客户端\这个目录下 我们就随机分析了 ...
今天有个朋友联系到我,说营销大师客户端不对,我第一感觉,就是被黑了,因为手法一点也没变,替换,伪装各种网吧常用软件,做为开机命令启动,然后达到盗号,劫持,等目地,分析了很多次,但是这里面有些域名和公司,就不直接说了,IP,等都打码了,望大家理解,怕引起误会。其实也分析到了点有用的东西。
1.png
创建时间,就在10.9号!启动后,真实的营销大师会释放生成在 c:\windows\营销大师客户端\这个目录下
我们就随机分析了几个文件,IP太多,而且经常变化,所以,就不在帖子里一一叙述了。大概就是这么一个流程,以下是增值下载策略,和浏览器劫持等。
一些敏感域名,和IP已经打码。
2.png
3.png
4.png
以下是QQ 盗号的问题。盗取了QQ后,或者直接就本地给QQ好友发广告了,如果被盗,再想要盗STEAM,如果是绑定的QQ邮箱,那STEAM也危险。
111.png
先获取本机的信息,IP,外网IP,MAC,系统等等,上传。
然后获取tgp_daemon.exe , wegame.exe , QQ.exe 然后再WIM也获取硬件信息,包括MAC
然后获取C盘wegame登入文件信息
然后获取QQ幸运字符资格等,具体小编也不清楚幸运字符有啥用。
到这里的样子,其实QQKEY应该也是被上传了的。不然他费尽心思上传电脑的MAC IP,外网IP这些信息干嘛呢

以下是远程工具检测,具体应该是判断本机是不是有管理员远程,如果发现有这个客户端,采取盗远程,或者不下发任何数据吧。
567.png

建议
1.QQ邮箱一定要设置2级密码,这样,至少可以防止利用QQkey登入邮箱盗取STEAM帐号。但是发广告的话,应该还是无法控制
2.服务器安全一定要做好,不要把密码全网通用
3.当然,QQ这个业务可能不光这个木马在跑,有可能很多公司也在跑别的广告业务的时候,广告业务又不注意有可能也被下套了,不然不可能全国那么多,那么大的范围,QQ被盗,发广告,等等

最后,我还是想打个广告。
【VIP软件】服务器被黑入侵检测工具.STEAM盗号检测!2020年10.18号更新 https://www.hxwglm.com/thread-38061-1-1.html
用我们的这个工具,可以及时发现服务器被黑,等问题,有效防止盗号等问题!!!

更多精华帖子,可以关注本公众号,回复 “往期精彩”


鲜花
鲜花
握手
握手
雷人
雷人
路过
路过
鸡蛋
鸡蛋
官方推荐

相关分类

GG赞助广告