为了省钱,很多人会尝试各种方法免费获取网站和视频网站的VIP权限。由于这种需求,各种所谓的“网络磁盘无限速度工件”或“VIP助手”应运而生。但这个工具的助手真的可靠吗? 360互联网安全中心最近收到了两份此类计划的报告。 两个方案的报告,一个是“百度网络磁盘无限速度工具”,另一个是“全网VIP分析助手”(视频网站VIP工具),以及报告的原因都是——自己莫名其妙的购买多个iTunes电子礼品卡。
以“百度网络磁盘无限速度工具”为例,您仍然可以轻松搜索搜索引擎中的相关信息:
俗话说“做足够的游戏”,这个木马非常专业。如果您在下载后直接运行此破解工具,则不会发生任何事情。——因为他会找到百度网盘的过程:
如果您找不到百度网络磁盘进程,您将直接退出并且什么都不做。
使用BaiduNetdisk.exe进行处理后,将启动HTTP请求确认版本。
然后我将修补BaiduNetdisk.exe的过程,但不知道它真的可以加速。但是,这不是重点。关键是补丁完成后,它将继续发布几个真正的特洛伊木马文件:
最后,运行这个创建的SysteCsrss.exe
三个程序的发布实际上是一个更典型的白色遥控木马使用。首先,SystemCsrss.exe与“北京世纪奥通科技有限公司”签约。
程序启动时,导入表将自动加载libcef.dll:
其次,这个libcef.dll实际上只是一个Loader。执行后,返回并加载并执行最后发布的名为data.lnk的ShellCode
运行后,它实际上是一个普通的遥控器。——首先,我从服务器获得了远程控制在线域名:
之后,遥控器上线并被黑客控制:
最后,受害者机器上显示的现象是,当用户离开时,黑客使用远程控制程序向受害者机器发出命令,创建新的管理员权限用户,然后使用Microsoft自己的远程桌面功能登录。受害者机器(这样黑客就可以方便地使用图形界面来操纵受害者机器) 并在不知情的情况下使用受害者帐户购买了多张iTunes电子礼品卡:
事实上,该程序已被360识别并杀死:
招募用户的原因是因为用户有时认为所谓的辅助工具是反病毒软件的“正常”,所以他们选择将木马添加到白名单中:
借此机会向用户提供,360不会意外报告所谓的“插件”或“配件工具”。报告毒药必须有理由。为了您的财产安全,请相信安全软件的“判断”。