登入QQ和wegame会弹出JD商城

crazybird 2021-01-08 1.46 K阅读 1评论

温馨提示:这篇文章已超过693天没有更新,请注意相关的内容是否还可用!

遇到个别网吧,在客人登入QQ和wegame后,会有概率性或者是100%的出现QQ登入安全提醒,XXXX登入了JD商城,如下图:

这个问题前段时间就遇到的了,当时没有查到来源,因为查着查着,突然正常了,因为现在外面好多不正当的软件都很狡猾,检测到某些工具在客户机上运行了,然后他就自动消失了,这样的现象遇到很多次了,包括昨天晚上,也是查着查着,突然就正常了,不过还好,昨天已经查到了可疑的文件了,所以今天遇到了,查起来就方便多了。

案例1:

可疑文件就是客户机上C盘里temp目录下会有随机名的5位数字的dll文件,如下图:


知道了这样的dll文件后,就在服务端上挂盘放工具抓这样的dll是谁生成的了,抓出来的结果如下,ERIJHIGGH.EXE释放38203.dll

然后看ERIJHIGGH.EXE是谁释放的,这样就清楚了,如下图:

案例2:

也是一样的5位随机名的dll的,先是XXEXE文件注入到explorer.exe里释放wfpu.exe



wfpu.exe释放Qawq.exe


然后Qawp.exe注入到PID10028的svchost.exe里

然后PID是10028的svchost.exe释放5位随机名的dll

虽然遇到的不是同一个软件的,估计应该是他们做的增值是出自同一家公司的。

另外再次感谢我们公司安全的同事!!



文章版权声明:除非注明,否则均为云维护原创文章,转载或复制请以超链接形式并注明出处。

发表评论

快捷回复: 表情:
验证码
评论列表 (有 1 条评论,1458人围观)
网友昵称:kingpeng6
kingpeng6 V 评论者 Google Chrome 95.0.4638.69 Windows 7 x64 沙发
10-15 回复
是通过哪个工具抓取到这些dll的呢?
取消
微信二维码
微信二维码
支付宝二维码