登陆 注册

由一个系统激活工具引起的一次简单测试

Hacker毒皇 2020-04-04 安全文摘
黑白网(heibai.org)成立于2014年,多年来以其专业的视角,优质的服务为广大安全技术爱好者提供了目前国内最全的网络安全技术学习资料,普及中国网络安全知识,宣扬正确的黑客极客文化,全方面提高国内安全技术水平。

各位好,我是零度攻防实验室的精神小伙,Etion

今天可以说是很气愤了,但也挺有意思。。。

为什么这么说呢?事情的起因是这样的。。。

新搭建了一个Win7虚拟机环境,随便找了一个激活工具,官网是这样的。。。(全程不会打码,让大家看看这帮人是多坑小白用户),这种站居然上了百度第一名,说明投入很高了


本身就是虚拟机随便用一下,没想那么多,下载了一个激活工具

于是乎在虚拟机里面运行,征召就是没有激活成功,出于敏感,我就随手敲了一个netstat -ano,于是乎,我发现了一个奇怪的链接

它用了我的49159和49160对外建立了一个连接,虽然连接是关闭的。我查了一下这个IP的归属地

根据老夫多年的撩妹经验来看,呃呃呃,跑题了。根据经验来看,我应该是中招了,敲一下tasklisk命令根据PID对应一下是那个程序在运行

输入

wmic process getname,executablepath,processid|findstr 2860


锁定这个文件的位置

我们来看一下

根据文件夹的名,去度娘搜索一下

麻辣香锅?根据简拼还真是这样的

好你个麻辣香锅,我看看你到底是什么配方做的!

掏出落灰的Nmap,全端口扫起来

瞧我这暴脾气,通过一段时间的扫目录,找到了好东西,存在未授权访问

新年快乐?我他喵的怎么快乐,查看一下数据

近一个月的记录,全国不知道有多少人中招了。。。

看到这里,我真是火冒三丈,太坑人了,每一天都有被坑的人

未造成合法进程的流氓程序

这次的木马,主要就是通过篡改浏览器主页来达到盈利的目的

警告大家,不要随意运行未知的exe,不要随便乱点,普通用户养成良好的杀毒习惯,绿色上网!

文由零度安全攻防实验室

生成海报
请发表您的评论
请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.