事情是这样的,早上我在论坛发了一个CF的透视注入,版主和技术组成员发现运行后会释放远控木马程序
原帖链接:
http://bbs.houdao.com/r13055263/之后我就一遍又一遍的看我写出来的源码(只是一个注入)
发现什么毛病也没有,很正常的思路,除了写入DLL,没有其他.
然而,卡卡bug提醒了我模块的原因,并且发给我了一个正版的Super-EC.(问题就是出在这里)
乍一看确实看不出来什么,大小很相似,只相差1k左右.
然后我就在源码的模块引用中更换了引用,编译测试.
没错,的确是模块有后门,在我更换了模块之后并没有释放文件.
这个是有后门的模块编译出来的,查毒链接:http://fireeye.ijinshan.com/analyse.html?md5=f40e4989b31671679acf6f17fc24b15b&sha1=7e2b0cda4c14e24e46ac07cf07b45d0b615cb8da&type=1
这个是没有后门的模块编译出来的:http://fireeye.ijinshan.com/analyse.html?md5=544c73902cb26fdea7da25f0a15b8c7c&sha1=ade53610c0faad35745817a08fae2c931daf771f&type=1
火眼查毒很清楚地指出了有后门的文件在运行过程中的网络行为:
而没有后门的模块根本没有任何网络行为,都是本地操作.
上传之后我也发火眼查毒链接了,不过因为是我自己写的,就没有认真看软件行为.
希望猴子们引以为戒.不要认为有查毒链接就一定安全,下载之后一定要自己用火眼查毒再查一遍,以免中招.
这里是我所用到的模块:http://share.weiyun.com/91af0d8ccf57525566fc51b3e9d18032
下载过我发的那个透视的,在任务管理器里面找到文件位置为C:\Program Files\Common Files\Microsoft Shared\MSInfo\svchost.exe的进程
把这个进程结束,然后把这个位置下的svchost.exe和svchost.bat删除就好了.
在这里发这个帖子不是为了别的,只是澄清一下和告诉猴子们解决的方法,
[ 此帖被栀子花开c在2016-06-25 18:41重新编辑 ]
