A-A+

关于近期网吧批量盗号的分析与解决,死亡1026 更新2016.08.06

2016年08月11日 问题知识 暂无评论 阅读 278 次

近期,有多位用户在深蓝软件SVIP群里反应了遭遇大面积盗号的情况,希望大家一起分析,因为群里都是些上百家的大网维,很快大家对情况进行了汇总和分析。

首先大家注意看cmd.exe 与 cscript.exe 两个文件被利用并连接了不同的电脑的IP。

20160804193407_17805

20160804193407_46958

同时有SVIP用户反应了该病毒在他的网吧通过 1026端口来传播病毒,并抓住了一段VBS,深蓝简单分析一下这段VBS的含义:

这段VBS代码首先是创建了一个对象,为了迷惑用户和杀毒,采取了 replace在命令中插入多个无用的字符,再在使用前替换掉字符。

然后通过 https://的方式下载 bugreport.exe 文件,之后该 VBS以参数的形式运行 ospp.vbs 192.168.0.172:1026 传入IP与端口。

最后VBS在运行完所有功能后会删除自身。

20160804193618_75371

下载的病毒是免杀的,是否是收费机中毒还是和收费软件被利用有关?有待进一步验证。

20160804194028_14619

扫描局域网后发现只有收费机开了1026端口。

20160804194147_17091

解决办法:

用户测试后,屏蔽1026口后问题解决。后面端口可能会变,思路就是这样,灵活去处理吧。

更新2016.08.06

  感谢用户抓到样本发过来,供分析。

更新 2016.08.15

  开机命令加入了cscript.exe和wscript.exe这2个文件的映像劫持.

来自:https://slsup.com/post/168.html

万豪棋牌手机版技术交流群

给我留言

<meta name= <meta name= <meta name= <meta name= <meta name= <meta name= <meta name= <meta name= <meta name= <meta name= <meta name= <meta name= <meta name= <meta name= <meta name= <meta name= <meta name= <meta name= <meta name= <meta name= <meta name= <meta name=

Copyright © 万豪棋牌手机版 保留所有权利.   联系站长 万豪棋牌手机版技术交流群 托管于阿里云 冀ICP备12002422号-3

用户登录

分享到: