找回密码
 加入网盟
分割线
官方精品推荐
遇到个别网吧,在客人登入QQ和wegame后,会有概率性或者是100%的出现QQ登入安全提醒,XXXX登入了JD商城,如下图:

这个问题前段时间就遇到的了,当时没有查到来源,因为查着查着,突然正常了,因为现在外面好多不正当的软件都很狡猾,检测到某些工具在客户机上运行了,然后他就自动消失了,这样的现象遇到很多次了,包括昨天晚上,也是查着查着,突然就正常了,不过还好,昨天已经查到了可疑的文件了,所以今天遇到了,查起来就方便多了。

案例1:

可疑文件就是客户机上C盘里temp目录下会有随机名的5位数字的dll文件,如下图:

知道了这样的dll文件后,就在服务端上挂盘放工具抓这样的dll是谁生成的了,抓出来的结果如下,ERIJHIGGH.EXE释放38203.dll

然后看ERIJHIGGH.EXE是谁释放的,这样就清楚了,如下图:

案例2:
也是一样的5位随机名的dll的,先是XXEXE文件注入到explorer.exe里释放wfpu.exe



wfpu.exe释放Qawq.exe

然后Qawp.exe注入到PID10028的svchost.exe里

然后PID是10028的svchost.exe释放5位随机名的dll

虽然遇到的不是同一个软件的,估计应该是他们做的增值是出自同一家公司的。

另外再次感谢我们公司安全的同事!!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?加入网盟

x
分享至 : QQ空间
收藏

3 个回复

正序浏览
258758499 列兵 2021-1-10 08:41:21
4#
膜拜大神10秒钟
回复 使用道具 举报
jxpxe 列兵 2021-1-8 00:26:23
3#
膜拜大神3秒钟
回复 使用道具 举报
感谢{author}楼主
回复 使用道具 举报
您需要登录后才可以回帖 登录 | 加入网盟
关闭

华夏网盟推荐 上一条 /1 下一条