社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
  • 694阅读
  • 2回复

[分享]篡改网页的老流氓

楼层直达
z3960 
级别: 茶馆馆主
发帖
770868
飞翔币
207694
威望
215657
飞扬币
2511641
信誉值
8

早上开机,发现火绒日志出现了几个恶意网址拦截.就分析了下 看了下时间, 还每隔10分钟来一次. 在火绒剑监听里,看到不止网址拦截, 还存在记录文件的情况 删除还显示dll正在被运行 看了下几个的签名,所属公司如下(跑跑跳跳??): 拖入IDA 查看了下,涉及url: 访问了下网址, 修改浏览器列表的数组,被base64加密了 : 写入服务注册表,用svchost进行启动 然后找到了注册表 : 现在删除注册表和exe文件,火绒也没有报拦截的日志了(拦截的时间是之前的,发布时间是1点多..). iocs:url:znshuru.comznyshurufa.comMD5:0F4BCF148AB19D2693508C15A7DB7752DE33FD8E8589E8BCDF9DD98E41AE2622FC1D9C65C78798C19670CF767455A7C4DC22DCB337EBDC8850B8F97230DCCA377E647BB093A305779E11E48D0A52F70E7FBD10F03F7081E3EFE54EF3E0A6B90A
关键词: bot 浏览器
我不喜欢说话却每天说最多的话,我不喜欢笑却总笑个不停,身边的每个人都说我的生活好快乐,于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默,为什么在人群中看到个相似的背影就难过,看见秋天树木疯狂地掉叶子我就忘记了说话,看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。
级别: 超级版主
发帖
830456
飞翔币
224550
威望
224618
飞扬币
2422758
信誉值
0

只看该作者 1 发表于: 2020-07-06
来看一下
级别: 超级版主
发帖
830456
飞翔币
224550
威望
224618
飞扬币
2422758
信誉值
0

只看该作者 2 发表于: 2020-07-06
不错,了解了