今天有下載到楓糖楓之谷外掛的進來看看

黃金波斯貓

如果你今天有看到此文且下載檔案並執行的人請繼續往下看。


這是惡意軟體，請馬上刪除，已經執行的人請看以下清除步驟 (以下以 XP 為例)。

• 在 C:\ 找 1.exe 刪除它
• 在 C:\windows 找 Cheat.exe ByPass.exe，有就刪除
• 開啟工作管理員處理程序找 duprua.exe，有就結束程序
• 在 C:\WINDOWS\system32 找 duprua.exe 刪除它
• 在 Windows 啟動資料夾找 scvost.bat 刪除它
• 以系統管理員執行 cmd，鍵入 sc delete HyperMonse
  

以上應該能清乾淨這壞東西。

小分析:
楓糖楓之谷外掛.exe 有加殼 (NsPack)，於是脫殼分析。
它執行時會"釋放" 2 個檔案並執行。

1. Private Sub Form_Load() '4043C0
   
2.   loc_00404403: var_eax = Call Form1.釋放
   
3.   loc_00404422: var_eax = Call Form1.釋放2
   
4. End Sub

複製代碼

1. Public Sub 釋放() '403F20
   
2.   loc_00403F7A: On Error Resume Next
   
3.   loc_00403F8F: var_28 = "C:\Windows\Cheat.exe"
   
4.   loc_00403FA3: If var_4052D4 = 0 Then
   
5.   loc_00403FAF:   var_eax = %cobj
   
6.   loc_00403FB5:   var_84 = vbNullString
   
7.   loc_00403FBF:   GoTo loc_00403FCB
   
8.   loc_00403FC1: End If
   
9.   loc_00403FC1: var_84 = vbNullString
   
10.   loc_00403FCB: 'Referenced from: 00403FBF
    
11.   loc_00403FD6: var_54 = "CUSTOM"
    
12.   loc_00404045: var_eax = Global.LoadResData var_40, var_00402CB4, vbNullString
    
13.   loc_0040404A: var_6C = Global.LoadResData var_40, var_00402CB4, vbNullString
    
14.   loc_004040B0: Open var_28 For Binary As #1 Len = -1
    
15.   loc_004040C8: Put #1, var_38
    
16.   loc_004040D7: Close #1
    
17.   loc_004040E7: var_44 = var_28
    
18.   loc_00404106: GoTo loc_0040411E
    
19.   loc_0040411D: Exit Sub
    
20.   loc_0040411E: 'Referenced from: 00404106
    
21. End Sub

複製代碼

1. Public Sub 釋放2() '404160
   
2.   loc_004041BA: On Error Resume Next
   
3.   loc_004041CF: var_28 = "C:\Windows\ByPass.exe"
   
4.   loc_004041E3: If var_4052D4 = 0 Then
   
5.   loc_004041EF:   var_eax = %cobj
   
6.   loc_004041F5:   var_84 = vbNullString
   
7.   loc_004041FF:   GoTo loc_0040420B
   
8.   loc_00404201: End If
   
9.   loc_00404201: var_84 = vbNullString
   
10.   loc_0040420B: 'Referenced from: 004041FF
    
11.   loc_00404216: var_54 = "CUSTOM"
    
12.   loc_00404285: var_eax = Global.LoadResData var_40, var_00402CB4, vbNullString
    
13.   loc_0040428A: var_6C = Global.LoadResData var_40, var_00402CB4, vbNullString
    
14.   loc_004042F0: Open var_28 For Binary As #1 Len = -1
    
15.   loc_00404308: Put #1, var_38
    
16.   loc_00404317: Close #1
    
17.   loc_00404327: var_44 = var_28
    
18.   loc_0040434A: var_44 = var_28
    
19.   loc_00404358: var_eax = Kill &H4008
    
20.   loc_00404364: GoTo loc_0040437C
    
21.   loc_0040437B: Exit Sub
    
22.   loc_0040437C: 'Referenced from: 00404364
    
23. End Sub

複製代碼

Cheat.exe 其實就是 duprua.exe (有加殼 ZProtect)，變身成 Windows 服務開機伴隨著你，詳細在做什麼沒有分析 (懶...
ByPass.exe 會複製 2 份，一份是 C:\1.exe，一份則在啟動資料夾 scvost.bat

金金

沒下載過 但是大大PO這文 救了滿多人

qwas963563

哈哈我就知道
掃毒報告裡有寫一堆後門

tmlt0911

正想找第二個外掛..
好險有看到這篇文 看來得掛機到下個月改版才能練了

qwas963563

我猜他的CSO外掛也是這種毒
小心點好

ilove03131101

看來一堆人死光拉

asdf70813

今天早上 我看到這外掛
0.新手上路用戶 發外掛  怪
1.界面  像是私服功能  然後他沒說支援哪個版本  又發在新楓之谷那邊  怪
2.下載頁面 名稱RAR  沒副檔名 怪
3.我解壓縮後 只看到一個EXE(正常來說 不會只有一個EXE)  怪
4.我PEID打開  拉進去 看到 裡面內容  怪
於是直接刪除 不用反編譯  一猜就知道騙人 或是有後門的

fucker

雖然沒再碰maplestory 但以我的經驗 會偽裝成service的 大多是監控吧...?

mikilin31

推 應該很多人被耍了

幫你報名銅子軍

這應該可以告了吧