病毒作者已人肉出

风铃 · 发表于 2018-12-4 21:27:39

本帖最后由风铃于 2018-12-4 21:43 编辑

有人问软件原理, 其实软件原理很简单,
联通在帮好友助力的时候只提交了手机号 + 对方助力ID, 所以直接拼接一个助力的包, 手机号随便生成, 就可以助力成功了(现在对手机号做了校验了)

这个软件在第一次运行的时候会请求github的文件列表, 在里面解密出配置信息,
进而下载 svchost.exe 和 libcef 的文件到 %temp%/gamedown/09/
svchost.exe通过加载同目录 libcef 释放两个jpg文件到 %appdata% 路径下

作者用到的木马分发地址

https://github.com/qq1790749886/javanet/tree/master/upload
https://www.google.com.hk/search?q=1790749886

复制代码

显示全部楼层 · 发表于 2018-12-4 21:33:41

提示: 作者被禁止或删除内容自动屏蔽

周润发 · 发表于 2018-12-4 21:28:14

大佬威武这人肉包子不错

hxuf · 发表于 2018-12-4 21:28:32

就这么反汇编了。。。

忘江湖 · 发表于 2018-12-4 21:28:35

膜拜大佬，紫薯布丁

nogcp · 发表于 2018-12-4 21:28:57

牛逼呀老哥，他这个软件的原理是什么

Wine · 发表于 2018-12-4 21:29:09

什么病毒？昨天那个快速撸联通无线流量的工具？

wangqinglin · 发表于 2018-12-4 21:29:44

Wine 发表于 2018-12-4 21:29
什么病毒？昨天那个快速撸联通无线流量的工具？

貌似是锁文件勒索。

shuo502 · 发表于 2018-12-4 21:30:18

提示: 作者被禁止或删除内容自动屏蔽

art · 发表于 2018-12-4 21:31:06

提示: 作者被禁止或删除内容自动屏蔽

Wine · 发表于 2018-12-4 21:31:16

wangqinglin 发表于 2018-12-4 21:29
貌似是锁文件勒索。

没中过

		自动登录	找回密码
密码			注册

老司机该用户已被删除	发表于 2018-12-4 21:33:41 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
老司机该用户已被删除
	回复支持 12 反对 0 举报

shuo502 shuo502 当前离线积分 7106	发表于 2018-12-4 21:30:18 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
shuo502 shuo502 当前离线积分 7106
	回复支持反对举报

art art 当前离线积分 5903	发表于 2018-12-4 21:31:06 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
art art 当前离线积分 5903
	回复支持反对举报