論壇 › 哈拉打屁 › 今天有下載到楓糖楓之谷外掛的進來看看

黃金波斯貓 發表於 2016-7-29 16:30:02

今天有下載到楓糖楓之谷外掛的進來看看

本帖最後由 黃金波斯貓 於 2016-7-29 16:35 編輯

如果你今天有看到此文且下載檔案並執行的人請繼續往下看。


這是惡意軟體，請馬上刪除，已經執行的人請看以下清除步驟 (以下以 XP 為例)。


[*]在 C:\ 找 1.exe 刪除它
[*]在 C:\Windows 找 Cheat.exe ByPass.exe，有就刪除
[*]開啟工作管理員處理程序找 duprua.exe，有就結束程序
[*]在 C:\WINDOWS\system32 找 duprua.exe 刪除它
[*]在 Windows 啟動資料夾找 scvost.bat 刪除它
[*]以系統管理員執行 cmd，鍵入 sc delete HyperMonse

以上應該能清乾淨這壞東西。

小分析:
楓糖楓之谷外掛.exe 有加殼 (NsPack)，於是脫殼分析。
它執行時會"釋放" 2 個檔案並執行。Private Sub Form_Load() '4043C0
  loc_00404403: var_eax = Call Form1.釋放
  loc_00404422: var_eax = Call Form1.釋放2
End SubPublic Sub 釋放() '403F20
  loc_00403F7A: On Error Resume Next
  loc_00403F8F: var_28 = "C:\Windows\Cheat.exe"
  loc_00403FA3: If var_4052D4 = 0 Then
  loc_00403FAF:   var_eax = %cobj
  loc_00403FB5:   var_84 = vbNullString
  loc_00403FBF:   GoTo loc_00403FCB
  loc_00403FC1: End If
  loc_00403FC1: var_84 = vbNullString
  loc_00403FCB: 'Referenced from: 00403FBF
  loc_00403FD6: var_54 = "CUSTOM"
  loc_00404045: var_eax = Global.LoadResData var_40, var_00402CB4, vbNullString
  loc_0040404A: var_6C = Global.LoadResData var_40, var_00402CB4, vbNullString
  loc_004040B0: Open var_28 For Binary As #1 Len = -1
  loc_004040C8: Put #1, var_38
  loc_004040D7: Close #1
  loc_004040E7: var_44 = var_28
  loc_00404106: GoTo loc_0040411E
  loc_0040411D: Exit Sub
  loc_0040411E: 'Referenced from: 00404106
End SubPublic Sub 釋放2() '404160
  loc_004041BA: On Error Resume Next
  loc_004041CF: var_28 = "C:\Windows\ByPass.exe"
  loc_004041E3: If var_4052D4 = 0 Then
  loc_004041EF:   var_eax = %cobj
  loc_004041F5:   var_84 = vbNullString
  loc_004041FF:   GoTo loc_0040420B
  loc_00404201: End If
  loc_00404201: var_84 = vbNullString
  loc_0040420B: 'Referenced from: 004041FF
  loc_00404216: var_54 = "CUSTOM"
  loc_00404285: var_eax = Global.LoadResData var_40, var_00402CB4, vbNullString
  loc_0040428A: var_6C = Global.LoadResData var_40, var_00402CB4, vbNullString
  loc_004042F0: Open var_28 For Binary As #1 Len = -1
  loc_00404308: Put #1, var_38
  loc_00404317: Close #1
  loc_00404327: var_44 = var_28
  loc_0040434A: var_44 = var_28
  loc_00404358: var_eax = Kill &H4008
  loc_00404364: GoTo loc_0040437C
  loc_0040437B: Exit Sub
  loc_0040437C: 'Referenced from: 00404364
End SubCheat.exe 其實就是 duprua.exe (有加殼 ZProtect)，變身成 Windows 服務開機伴隨著你，詳細在做什麼沒有分析 (懶...
ByPass.exe 會複製 2 份，一份是 C:\1.exe，一份則在啟動資料夾 scvost.bat

金金 發表於 2016-7-29 16:51:23

qwas963563 發表於 2016-7-29 17:02:57

哈哈我就知道
掃毒報告裡有寫一堆後門

tmlt0911 發表於 2016-7-29 17:07:35

正想找第二個外掛..
好險有看到這篇文 看來得掛機到下個月改版才能練了

qwas963563 發表於 2016-7-29 17:10:01

我猜他的CSO外掛也是這種毒
小心點好

ilove03131101 發表於 2016-7-29 17:17:14

看來一堆人死光拉

qaz7257 發表於 2016-7-29 17:22:27

asdf70813 發表於 2016-7-29 17:45:44

今天早上 我看到這外掛
0.新手上路用戶 發外掛  怪
1.界面  像是私服功能  然後他沒說支援哪個版本  又發在新楓之谷那邊  怪
2.下載頁面 名稱RAR  沒副檔名 怪
3.我解壓縮後 只看到一個EXE(正常來說 不會只有一個EXE)  怪
4.我PEID打開  拉進去 看到 裡面內容  怪
於是直接刪除 不用反編譯  一猜就知道騙人 或是有後門的

fucker 發表於 2016-7-29 18:40:16

雖然沒再碰maplestory 但以我的經驗 會偽裝成service的 大多是監控吧...?

mikilin31 發表於 2016-7-29 19:45:26

推 應該很多人被耍了:Q

情人終究變成 發表於 2016-7-29 21:13:20

isaac6789 發表於 2016-7-30 23:00:10

873341 發表於 2016-7-31 00:27:14

幫你報名銅子軍 發表於 2016-8-5 15:48:23

這應該可以告了吧

查看完整版本: 今天有下載到楓糖楓之谷外掛的進來看看