查看:4436
回复:7
发现一个可怕的盗号病毒,安全管家和哈勃分析都不报毒![复制链接]

2019-02-13 15:11:30 只看楼主 倒序浏览 电梯直达

我在我的群邮件【图一】里发现了这些。于是我抱着试一试的心态下载了“uu加速器破解版”。电脑管家并没有报毒。于是我运行了软件,但发现并没有破解功能,于是我就把软件删掉了。当天我并没有在意,直到我的朋友告诉我,我的steam账号密码不对,我才开始在意。我尝试登陆我的steam,发现账号密码不对。过一天后,我去steam官网找回我的账号,却发现账号绑定的手机和邮箱都已被更改。于是我进行账号申诉,但我却发现我的QQ邮箱收不到任何steam发来的邮件,后来我找到了原因,steam的发件邮箱在我的黑名单中。但是我自己并没有添加steam的发件邮箱在我的黑名单中,于是我开始猜测是那个“uu加速器破解版”是一个盗号木马。果不其然,当我找回账号时,我发现我的steam里的游戏绝地求生已被永久封禁。并且我还在我的QQ邮箱上发现我的邮箱向几个群发送了我当初看到的“群邮件”。

在理一理时间:

我在2月10日下载了并使用了所谓的“uu加速器破解版”,在2月10日发现账号被盗,在2月10日“uu加速器破解版”这个病毒自动用我的邮箱向几个群发送了病毒传播邮件。2月11日申诉并发现我的邮箱将steam的发件邮箱加入了黑名单。2月12日找回账号,发现绝地求生被封禁。

我点击“uu加速器破解版”时电脑管家没有任何报毒提示,我上传了哈勃文件分析,就连哈勃文件分析都显示无毒。但只要看看文件的分析报告,再结合我的账号被盗的事件。就能大致判断,这是一个盗号木马。

我希望看到这个帖子的有关部门能迅速的处理这个病毒,现在的安全管家和哈勃都不报毒,如果继续这样传播的话,后果不堪设想。谢谢。
道光
LV.2
主题2
回帖4
经验35
Z 币22
道光
LV.2
主题 2
回帖 4
经验 35
Z 币 22
注册 2019-02-13
最近 2019-04-06
7 条回复
2019-02-13 15:16:43 沙发
 本帖最后由 道光 于 2019-02-13 15:22:48 编辑图片没发送出来,重发一下  没有顺序!!上面说的【图一】是这里的【图四】!!
本帖子中包含更多资源,您需要才可以下载或查看
道光
LV.2
主题2
回帖4
经验35
Z 币22
道光
LV.2
主题 2
回帖 4
经验 35
Z 币 22
注册 2019-02-13
最近 2019-04-06
2019-02-13 15:21:07 板凳
 本帖最后由 道光 于 2019-02-13 15:27:36 编辑http://www.suhe618.com/uu 我下载病毒的地址。   https://habo.qq.com/file/showdetail?pk=ADQGb11lB2QIMFs5U2U%3D哈勃分析病毒报告。
道光
LV.2
主题2
回帖4
经验35
Z 币22
道光
LV.2
主题 2
回帖 4
经验 35
Z 币 22
注册 2019-02-13
最近 2019-04-06
2019-03-10 14:07:11 地板
这个盗号木马本身不带有木马模块,安装过程中单独下载木马模块。这种情况下是分析不出来的
Copyleft(ɔ)
LV.1
主题1
回帖1
经验7
Z 币5
Copyleft(ɔ)
LV.1
主题 1
回帖 1
经验 7
Z 币 5
注册 2019-03-10
最近 2019-04-03
2019-03-10 19:30:56 4#
到木马申诉举报去报不就行了
嗯_7RIQu1
LV.4
主题54
回帖21
经验376
Z 币242
嗯_7RIQu1
LV.4
主题 54
回帖 21
经验 376
Z 币 242
注册 2018-12-23
最近 2020-08-04
2019-04-01 11:03:34 5#
已经很明显告诉你盗号了,你还打开。。。
来历不明的软件放到哈勃看看他的行为就能判断有没有问题
a:-O
LV.1
主题0
回帖1
经验6
Z 币4
a:-O
LV.1
主题 0
回帖 1
经验 6
Z 币 4
注册 2019-04-01
最近 2019-04-02
2019-04-30 14:47:09 6#
试了,很棒耶          
证券之星134
LV.3
主题0
回帖340
经验76
Z 币51
证券之星134
LV.3
主题 0
回帖 340
经验 76
Z 币 51
注册 2019-04-30
最近 2019-05-15
2019-05-12 15:23:43 7#
注意一下,哈勃报告中有明显的设置管理员文件夹的属性行为且标红
然后网络行为中明显可以发现用户名、用户密码的发送,正常情况下该内容是加密的,不能被用户轻易获取,但是却有这个情况出现。
可断定所连接的不是官方服务器。
其次,报告中有显示“隐藏置顶窗口”,此举明显是做贼心虚,所以更应防范。


病毒的目的就是伪装成正常的软件对你的信息进行**,所以正常都有壳,进行免杀,所以安全软件并不容易发现。


使用网络游戏的用户尽量不要尝试任何破解版的辅助、加速器文件,请支持正版。
建议在电脑内下载火绒、卡巴斯基等公益性质的安全软件,并且写入一些内容,锁定游戏文件夹的访问权限,并且保护好自己的游戏密码,定期更改。

行为描述:连接指定站点
详情信息:
InternetConnectA: ServerName = lo****om, PORT = 4300, UserName = , Password = , hSession = 0x00cc0004, hConnect = 0x00cc0008, Flags = 0x00000000
WinHttpConnect: ServerName = ss****om, PORT = 443, UserName = , Password = , hSession = 0x03b62000, hConnect = 0x03b62100, Flags = 0x00000000
WinHttpConnect: ServerName = ss****om, PORT = 443, UserName = , Password = , hSession = 0x03de0000, hConnect = 0x03de0100, Flags = 0x00000000
WinHttpConnect: ServerName = ma****om, PORT = 443, UserName = , Password = , hSession = 0x03de0000, hConnect = 0x03de0200, Flags = 0x00000000
WinHttpConnect: ServerName = ss****om, PORT = 443, UserName = , Password = , hSession = 0x04010000, hConnect = 0x04010100, Flags = 0x00000000
WinHttpConnect: ServerName = ss****om, PORT = 443, UserName = , Password = , hSession = 0x04010400, hConnect = 0x04010500, Flags = 0x00000000
行为描述:打开HTTP连接
详情信息:
InternetOpenA: UserAgent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1), hSession = 0x00cc0004
行为描述:建立到一个指定的套接字连接
详情信息:
URL: lo****om, IP: **.133.40.**:4300, SOCKET = 0x00000284
URL: ss****om, IP: **.133.40.**:443, SOCKET = 0x00000344
URL: ss****om, IP: **.133.40.**:443, SOCKET = 0x00000394
URL: ma****om, IP: **.133.40.**:443, SOCKET = 0x00000230
URL: ss****om, IP: **.133.40.**:443, SOCKET = 0x0000039c
行为描述:读取网络文件
详情信息:
hFile = 0x00cc000c, BytesToRead =1024, BytesRead = 1024.
行为描述:发送HTTP包
详情信息:
GET /pt_get_uins?callback=ptui_getuins_CB&r=0.7478418888058513&pt_local_tk=0.3858416392467916 HTTP/1.1 Accept: */* Referer: http://localhost.ptlogin2.qq.com:4300/pt_get_uins?callback=ptui_getuins_CB&r=0.7478418888058513&pt_local_tk=0.3858416392467916 Accept-Language: zh-cn Cookie: pt_local_token=0.3858416392467916; User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1) Host: lo****om:4300 Cache-Control: no-cache
行为描述:打开HTTP请求
详情信息:
HttpOpenRequestA: lo****om:4300/pt_get_uins?callback=ptui_getuins_cb&r=0.7478418888058513&pt_local_tk=0.3858416392467916, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer: , Flags = 0x80084010
WinHttpOpenRequest: ss****om:443/qqmail?pt_clientver=5569&pt_src=1&keyindex=9&fun=clientread&aduin&adsession=iii&adtag=jjj&clientuin=&clientkey=&ptlang=2052&httptype=0&aduin=&adsession=1550038444&adtag=client.qq.5569_mysrv.0&adpubno=26776, hConnect = 0x03de0100, hRequest = 0x03e20000, Verb: GET, Referer: , Flags = 0x00800000
WinHttpOpenRequest: ss****om:443/qqmail?pt_clientver=5569&pt_src=1&keyindex=9&fun=clientread&aduin&adsession=iii&adtag=jjj&clientuin=&clientkey=&ptlang=2052&httptype=0&aduin=&adsession=1550038442&adtag=client.qq.5569_mysrv.0&adpubno=26776, hConnect = 0x03b62100, hRequest = 0x03f30000, Verb: GET, Referer: , Flags = 0x00800000
WinHttpOpenRequest: ma****om:443/cgi-bin/grouplist?t=compose_group&sid=&newwin=, hConnect = 0x03de0200, hRequest = 0x03e20000, Verb: GET, Referer: , Flags = 0x00800000
WinHttpOpenRequest: ss****om:443/qqmail?pt_clientver=5569&pt_src=1&keyindex=9&fun=clientread&aduin&adsession=iii&adtag=jjj&clientuin=&clientkey=&ptlang=2052&httptype=0&aduin=&adsession=1550038446&adtag=client.qq.5569_mysrv.0&adpubno=26776, hConnect = 0x04010100, hRequest = 0x04040000, Verb: GET, Referer: , Flags = 0x00800000
WinHttpOpenRequest: ss****om:443/qqmail?pt_clientver=5569&pt_src=1&keyindex=9&fun=clientread&aduin&adsession=iii&adtag=jjj&clientuin=&clientkey=&ptlang=2052&httptype=0&aduin=&adsession=1550038448&adtag=client.qq.5569_mysrv.0&adpubno=26776, hConnect = 0x04010500, hRequest = 0x04040400, Verb: GET, Referer: , Flags = 0x00800000
行为描述:按名称获取主机地址
详情信息:
GetAddrInfoW: lo****om
GetAddrInfoW: ss****om
GetAddrInfoW: ma****om

✿ۣ漓辞
LV.2
主题1
回帖11
经验43
Z 币39
✿ۣ漓辞
LV.2
主题 1
回帖 11
经验 43
Z 币 39
注册 2018-10-20
最近 2021-03-20
回复

您需要 登录 后才可以回帖

Copyright © 2020 Tencent.All Rights Reserved.
本论坛部分内容来源于用户上传,如有侵权内容、不妥之处,请联系我们删除,敬请谅解!