昨天晚上,有又朋友,说,有一个好东西,发给我。 然后我们一直在忙,现在才有空分析了一下。 现大致大分析过程写一下吧。算是分享!    我们拿到这个病毒后,直接在电脑上运行,启动STEAM, 然后我们的病毒检测工具,就直接报毒了。这个病毒库 我们在去年就加入了! 但是最近病毒作者好像又更新程序了。 我们分析他给我们的TOOL这个压缩包,应该是服务器被黑了, 然后手动安装的开机启动! 我们先从这个TOOLS里的 CSRSS.exe 程序的修改时间是2019.4.23号晚上, 应该是才更新的! http://xiazz.net:2016/save.exe http://xiazz.net:2016/dwm.exe http://xiazz.net:2016/mstsc.exe 这个程序,只是一个下载者,会从这个网站下载他需要的病毒,等等  大家自己看一下,下载量,还有更新时间吧!!! 然后我们为什么说是STEAM盗号的,然后我们来分析他最近更新的文件 SAVE.exe 加壳的 E语言程序。 经过我们脱壳。然后自己看这个程序干嘛的吧  自己看上图代码吧,上传的IP,SSFN文件,令牌,这就是为什么,绑定了令牌也会被盗。 1.建议,不管如何,还是开个手机令牌!提醒顾客 2.封掉上图中,出现的病毒IP,下载网站 http://xiazz.net:2016/ 119.188.246.40 这几个IP已经提交给文网卫士,贵公司会不会统一封掉,就不是很清楚了。 3.安装我们的华夏网盟防盗号工具,可以防止大部分针对STEAM盗号的问题。 以下是我们的今天的发信截图,就是如果您网吧有STEAM盗号,或者被黑 我们会通过邮件提醒您!   我们的病毒检测工具: https://www.hxwglm.com/thread-38061-1-1.html |
湘公网安备 43120202000168号 |
免责声明
本服务器托管于 <阿里云>
本站是非盈利性质的论坛,所有信息均为原作者提供和网友推荐收集整理而来,仅供学习和研究使用。如有侵犯你版权的,请来信指出(hxwglm@outlook.com),本站将立即改正.
学网吧技术,到华夏网盟
做网吧行业最后死去的一个论坛
