5636联盟APP下载
资讯
经营
技术
软件
热门关键字: 网吧转型网咖 网咖活动 搜索
5636联盟 2

网吧闲谈

使用破解版净网先锋会导致什么后果
2017-08-22 作者:小唐 点击: 214次
  网吧出现客户机盗号,进程多出一个wowexec.exe进程,一直都找不到原因,经过一系列排查,发现是使用破解版净网先锋导致导致的。
  分析过程
  1、部署安装win764位行为抓取软件,设置好共享目录。收取每天客户机的日志
  2、等到客户机出现盗号时候,有玩家反馈是某某机器盗号的,那么提取当天日志
  3、日志关键性截图
  
  CMD将一段信息写入到VBS里面,并且下载了yejibbs.exe程序,这个就是一个非常危险的操作了。通过日志查看是IE浏览器创建出来的CMD,然后再执行的vbs脚本。IE肯定是不会主动去做这个事的,推测是用户浏览了什么页面后加载了恶意的js脚本”迫使默认浏览器执行了这个操作“,即使没有IE,你默认浏览器设置的F1的话也会去执行的!然后再网上查看是否能看到IE浏览器的页面记录
  
  在前几秒的时候看到万象的MainPro.exe做了一个退弹的动作,给默认浏览器发了一个参数地址,地址是"ad6201.dnsorg.net",这个是比较可疑的,现在来抓下这个ad6201.dnsorg.net的封包
  
  从提过来的数据查看,MainPro.exe做的弹窗目标地址中的封包数据跟木马下载路径的地址是一模一样的,连端口号都没错,这就不是巧合这么简单了。确实是使用的破解版净网先锋,这样问题就自然清楚了。

以上内容整理自互联网,如有侵权,请立即与小编联系,小编将及时处理。转载或引用本网版权所有之内容请注明来源,感谢您对本站的支持! 联系QQ:2850592923 欢迎加入网吧业主 交流群:614859884(已满)397580722(可加)

上一篇 :罗平开网吧必看:消防便民服务公告 下一篇 :讨论腾讯手机qq新功能:企鹅网吧

相关阅读

点击排行榜

第三板块右侧广告位1 第三板块右侧广告位2