冰楓論壇

標題: 今天有下載到楓糖楓之谷外掛的進來看看 [打印本頁]
作者: 黃金波斯貓    時間: 2016-7-29 16:30
標題: 今天有下載到楓糖楓之谷外掛的進來看看
本帖最後由 黃金波斯貓 於 2016-7-29 16:35 編輯

如果你今天有看到此文且下載檔案並執行的人請繼續往下看。
1.jpg

這是惡意軟體,請馬上刪除,已經執行的人請看以下清除步驟 (以下以 XP 為例)。


以上應該能清乾淨這壞東西。

小分析:
楓糖楓之谷外掛.exe 有加殼 (NsPack),於是脫殼分析。
它執行時會"釋放" 2 個檔案並執行。
  1. Private Sub Form_Load() '4043C0
  2.   loc_00404403: var_eax = Call Form1.釋放
  3.   loc_00404422: var_eax = Call Form1.釋放2
  4. End Sub
複製代碼
  1. Public Sub 釋放() '403F20
  2.   loc_00403F7A: On Error Resume Next
  3.   loc_00403F8F: var_28 = "C:\Windows\Cheat.exe"
  4.   loc_00403FA3: If var_4052D4 = 0 Then
  5.   loc_00403FAF:   var_eax = %cobj
  6.   loc_00403FB5:   var_84 = vbNullString
  7.   loc_00403FBF:   GoTo loc_00403FCB
  8.   loc_00403FC1: End If
  9.   loc_00403FC1: var_84 = vbNullString
  10.   loc_00403FCB: 'Referenced from: 00403FBF
  11.   loc_00403FD6: var_54 = "CUSTOM"
  12.   loc_00404045: var_eax = Global.LoadResData var_40, var_00402CB4, vbNullString
  13.   loc_0040404A: var_6C = Global.LoadResData var_40, var_00402CB4, vbNullString
  14.   loc_004040B0: Open var_28 For Binary As #1 Len = -1
  15.   loc_004040C8: Put #1, var_38
  16.   loc_004040D7: Close #1
  17.   loc_004040E7: var_44 = var_28
  18.   loc_00404106: GoTo loc_0040411E
  19.   loc_0040411D: Exit Sub
  20.   loc_0040411E: 'Referenced from: 00404106
  21. End Sub
複製代碼
  1. Public Sub 釋放2() '404160
  2.   loc_004041BA: On Error Resume Next
  3.   loc_004041CF: var_28 = "C:\Windows\ByPass.exe"
  4.   loc_004041E3: If var_4052D4 = 0 Then
  5.   loc_004041EF:   var_eax = %cobj
  6.   loc_004041F5:   var_84 = vbNullString
  7.   loc_004041FF:   GoTo loc_0040420B
  8.   loc_00404201: End If
  9.   loc_00404201: var_84 = vbNullString
  10.   loc_0040420B: 'Referenced from: 004041FF
  11.   loc_00404216: var_54 = "CUSTOM"
  12.   loc_00404285: var_eax = Global.LoadResData var_40, var_00402CB4, vbNullString
  13.   loc_0040428A: var_6C = Global.LoadResData var_40, var_00402CB4, vbNullString
  14.   loc_004042F0: Open var_28 For Binary As #1 Len = -1
  15.   loc_00404308: Put #1, var_38
  16.   loc_00404317: Close #1
  17.   loc_00404327: var_44 = var_28
  18.   loc_0040434A: var_44 = var_28
  19.   loc_00404358: var_eax = Kill &H4008
  20.   loc_00404364: GoTo loc_0040437C
  21.   loc_0040437B: Exit Sub
  22.   loc_0040437C: 'Referenced from: 00404364
  23. End Sub
複製代碼
Cheat.exe 其實就是 duprua.exe (有加殼 ZProtect),變身成 Windows 服務開機伴隨著你,詳細在做什麼沒有分析 (懶...
ByPass.exe 會複製 2 份,一份是 C:\1.exe,一份則在啟動資料夾 scvost.bat
作者: 金金    時間: 2016-7-29 16:51
提示: 作者被禁止或刪除 內容自動屏蔽
作者: qwas963563    時間: 2016-7-29 17:02
哈哈我就知道
掃毒報告裡有寫一堆後門
作者: tmlt0911    時間: 2016-7-29 17:07
正想找第二個外掛..
好險有看到這篇文 看來得掛機到下個月改版才能練了
作者: qwas963563    時間: 2016-7-29 17:10
我猜他的CSO外掛也是這種毒
小心點好
作者: ilove03131101    時間: 2016-7-29 17:17
看來一堆人死光拉
作者: qaz7257    時間: 2016-7-29 17:22
提示: 作者被禁止或刪除 內容自動屏蔽
作者: asdf70813    時間: 2016-7-29 17:45
提示: 作者被禁止或刪除 內容自動屏蔽
作者: fucker    時間: 2016-7-29 18:40
雖然沒再碰maplestory 但以我的經驗 會偽裝成service的 大多是監控吧...?
作者: mikilin31    時間: 2016-7-29 19:45
推 應該很多人被耍了
作者: 情人終究變成    時間: 2016-7-29 21:13
提示: 作者被禁止或刪除 內容自動屏蔽
作者: isaac6789    時間: 2016-7-30 23:00
提示: 作者被禁止或刪除 內容自動屏蔽
作者: 873341    時間: 2016-7-31 00:27
提示: 作者被禁止或刪除 內容自動屏蔽
作者: 幫你報名銅子軍    時間: 2016-8-5 15:48
這應該可以告了吧




歡迎光臨 冰楓論壇 (https://bingfong.com/) Powered by 冰楓