欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

居然破坏ARK攻击杀毒软件,HTTPS劫持病毒木马恐怖升级

来源:本站整理 作者:佚名 时间:2017-09-09 TAG: 我要投稿

图17
应用Nslookup查问dns.5447.me的TXT记载也和该木马剖析拿到的成果同等:

图18
终极获得挟制列表地点:http://h.02**.me:97/i/hijack.txt?aa=1503482176
挟制网址列表及跳转目的衔接以下图,重要挟制导航及电商网站:

图19
驱动读取收集数据包:

图20
发送节制敕令:

图21
驱动层过滤拦阻到收集数据包前往给应用层yyqg.dll, 应用层yyqg.dll读取到数据剖析后依据云控列表婚配数据而后Response一段:
 主动革新并指向新页面的代码
(http-equiv望文生义,相当于http的文件头感化)

图22
被挟制后给前往的成果:主动革新并指向新页面:http://h.02**.me:97/i

图23
http://h.02**.me:97/i再断定浏览器跳转到终极带有其推行ID的导航页面:如果是搜狗浏览器跳转到:http://www.hao123.com?123
不是搜狗浏览器则跳转到:http://www.hao774.com/?381**,至此就完成为了一个完备挟制进程。

图24

图25
挟制后果动图(双击关上):

图26
同时为了避免挟制呈现无穷轮回挟制,其还做了一个白名单列表主如果其挟制到的终极跳转页面衔接,碰到这些衔接时则不做挟制跳转。
http://h.02**.me:97/i/white.txt?aa=1503482177

图27

图28
传播:
除游戏外挂外,在许多Ghost体系盘里也发明了该类木马的行迹,且木马应用体系盘传播的数目远超外挂传播。应用带“毒”体系盘装机,还没来得及装置杀毒软件,流量挟制木马便主动运转;别的,外挂本身的困惑性,也极易引诱中招者疏忽杀软提示而冒险运转木马。
正因木马宿主的特殊性,使得该类流量挟制木马的沾染率极高。据360近期的查杀数据表现,因为体系自带木马,或疏忽平安软件提示运转带毒外挂的受益用户,曾经高达数十万之多。

图29

 
图30

 
再次提示宽大网民:
1.谨严应用网上传播的Ghost镜像,此中大多都带有各类歹意法式,倡议用户抉择正轨装置盘装置操作体系,免得本身的电脑被不法分子节制。
2.不法外挂软件“十挂九毒”,一定要加以鉴戒,分外是在请求必需加入平安软件才能应历时,切不可漫不经心;
3.装置操作体系后,第一时间装置杀毒软件,对能够存在的木马停止查杀。上彀时碰到杀毒软件预警,切不可随便放行可疑法式。

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载