-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2025-11-03
- 在线时间19246小时
-
- 发帖842751
- 搜Ta的帖子
- 精华0
- 飞翔币121313
- 威望325892
- 飞扬币3797901
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 842751
- 飞翔币
- 121313
- 威望
- 325892
- 飞扬币
- 3797901
- 信誉值
- 8
|
早上开机,发现火绒日志出现了几个恶意网址拦截.就分析了下 看了下时间, 还每隔10分钟来一次. 在火绒剑监听里,看到不止网址拦截, 还存在记录文件的情况   删除还显示dll正在被运行 看了下几个的签名,所属公司如下(跑跑跳跳??):   拖入IDA 查看了下,涉及url:  访问了下网址, 修改浏览器列表的数组,被base64加密了 : 写入服务注册表,用svchost进行启动 然后找到了注册表 : 现在删除注册表和exe文件,火绒也没有报拦截的日志了(拦截的时间是之前的,发布时间是1点多..). iocs:url:znshuru.comznyshurufa.comMD5:0F4BCF148AB19D2693508C15A7DB7752DE33FD8E8589E8BCDF9DD98E41AE2622FC1D9C65C78798C19670CF767455A7C4DC22DCB337EBDC8850B8F97230DCCA377E647BB093A305779E11E48D0A52F70E7FBD10F03F7081E3EFE54EF3E0A6B90A
|
