意见建议会员恢复
 找回密码
 免费注册
开启左侧

一个后门程序的分析过程

原帖链接http://bbs.tbfull.com/thread-7877-1-1.html
下载的文件中包含捆绑+感染型木马病毒
原文件下载地址https://www.lanzous.com/i62e5qd
1ndy2.0免杀远控.exe为病毒启动器!运行此文件将启动隐藏的病毒._cache_1ndy2.0.exe!
即使删除了该木马,运行启动器时也会重新生成

1

1

2

2

为了测试其病毒性,需要在360隔离沙箱中运行文件。可以看到,运行可见木马时,隐藏木马启动。

3

3

之后,如果允许隐藏木马启动,会看到360分别查杀了两个小马,如下图所示。

4-第一个木马

4-第一个木马

5-第二个木马

5-第二个木马

另外,如果被病毒成功感染,病毒还会逐渐感染你计算机内所有的exe文件。
没有图标的exe文件会莫名变成远控的老鼠图标,有图标的exe文件不会改变图标。但是,没有图标和有图标的exe的文件都会莫名增大,例如本来80K的文件莫名会变成800K,600K的文件会变成1500K等!
在运行时,还会生成一个隐藏的,跟感染前文件大小相等的病毒,属性是隐藏,文件名在原文件名前多了._cache_。由于此处病毒已被查杀,所以无处进行截图。各位可以用自己的电脑或者服务器自行测试,记得之后全盘杀毒。

基本上就是这样了,没什么好多说的了。之前我中了毒看见一堆乱码名称的服务
杜绝捆绑木马的文件上传!不想发就别发,要么就多收点币大家也不会骂你!你这算是个什么意思呢!




上一篇:已处理:小山羊远控内置木马!!大家小心!!
下一篇:已处理: st2批量执行 链接失效
华中帝国,资源最多更新最快,免杀教程,免杀软件,黑客资源,黑客教程,各大热门技术_联系我时请说是在华中帝国看到的_bbs.tbfull.com

大神点评(10)

xyzzklk 楼主 2019-10-25 18:52:26 显示全部楼层
小源 发表于 2019-10-23 23:45
https://www.lanzous.com/i6xs02j
下载地址以更新 这是我自己的网盘地址

各位记得解压密码是bbs.tbfull.com
华中帝国,资源最多更新最快,免杀教程,免杀软件,黑客资源,黑客教程,各大热门技术_联系我时请说是在华中帝国看到的_bbs.tbfull.com
回复 支持 1 反对 0

使用道具 举报

admin 2019-10-23 22:42:04 显示全部楼层
您好,我们正在通知作者进行维护,可能是审查员在审核文件的时候电脑感染了木马,目前正在通知作者发布原版届时我们将在此贴回复您,以及相关奖励
华中帝国,资源最多更新最快,免杀教程,免杀软件,黑客资源,黑客教程,各大热门技术_联系我时请说是在华中帝国看到的_bbs.tbfull.com
小源 2019-10-23 23:40:33 显示全部楼层
刚刚看了一下 我原贴发帖日期是9.5日 文件修改日期是9.7日
我原本是打着分享的精神免费发出来的 并没有什么居心,
至于文件为什么被更改 具体不太清楚 我等会更新一下原版下载地址
抱歉 让你有了不好的体验
华中帝国,资源最多更新最快,免杀教程,免杀软件,黑客资源,黑客教程,各大热门技术_联系我时请说是在华中帝国看到的_bbs.tbfull.com
小源 2019-10-23 23:45:19 显示全部楼层
https://www.lanzous.com/i6xs02j
下载地址以更新 这是我自己的网盘地址
华中帝国,资源最多更新最快,免杀教程,免杀软件,黑客资源,黑客教程,各大热门技术_联系我时请说是在华中帝国看到的_bbs.tbfull.com
xyzzklk 楼主 2019-10-24 09:37:50 显示全部楼层
小源 发表于 2019-10-23 23:40
刚刚看了一下 我原贴发帖日期是9.5日 文件修改日期是9.7日
我原本是打着分享的精神免费发出来的 并没有什 ...

好的没关系。你是不是测试的时候把自己电脑抓成肉鸡了?小马里面有感染型病毒就把远控给感染了?
华中帝国,资源最多更新最快,免杀教程,免杀软件,黑客资源,黑客教程,各大热门技术_联系我时请说是在华中帝国看到的_bbs.tbfull.com
xyzzklk 楼主 2019-10-24 09:37:59 显示全部楼层
小源 发表于 2019-10-23 23:45
https://www.lanzous.com/i613dyh
下载地址以更新 这是我自己的网盘地址

好的谢谢
华中帝国,资源最多更新最快,免杀教程,免杀软件,黑客资源,黑客教程,各大热门技术_联系我时请说是在华中帝国看到的_bbs.tbfull.com
Heimi_sa 2019-10-24 16:18:20 显示全部楼层
这个远控我也打开!!!!就在本机!!wocao
华中帝国,资源最多更新最快,免杀教程,免杀软件,黑客资源,黑客教程,各大热门技术_联系我时请说是在华中帝国看到的_bbs.tbfull.com
Heimi_sa 2019-10-24 16:20:32 显示全部楼层
怎么解毒,操,才重装的机器!!!!工具软件才安装好
华中帝国,资源最多更新最快,免杀教程,免杀软件,黑客资源,黑客教程,各大热门技术_联系我时请说是在华中帝国看到的_bbs.tbfull.com
xyzzklk 楼主 2019-10-25 18:47:36 显示全部楼层
Heimi_sa 发表于 2019-10-24 16:18
这个远控我也打开!!!!就在本机!!wocao

赶紧用急救箱全盘强力查杀吧你
华中帝国,资源最多更新最快,免杀教程,免杀软件,黑客资源,黑客教程,各大热门技术_联系我时请说是在华中帝国看到的_bbs.tbfull.com
xyzzklk 楼主 2019-10-25 18:48:11 显示全部楼层
Heimi_sa 发表于 2019-10-24 16:20
怎么解毒,操,才重装的机器!!!!工具软件才安装好

360系统急救箱全盘强力扫描 下次运行不确定的软件用隔离沙箱
华中帝国,资源最多更新最快,免杀教程,免杀软件,黑客资源,黑客教程,各大热门技术_联系我时请说是在华中帝国看到的_bbs.tbfull.com
12下一页
您需要登录后才可以回帖 登录 | 免费注册
关闭

公告 上一条 /1 下一条