各位好,我是零度攻防实验室的精神小伙,Etion
今天可以说是很气愤了,但也挺有意思。。。
为什么这么说呢?事情的起因是这样的。。。
新搭建了一个Win7虚拟机环境,随便找了一个激活工具,官网是这样的。。。(全程不会打码,让大家看看这帮人是多坑小白用户),这种站居然上了百度第一名,说明投入很高了
本身就是虚拟机随便用一下,没想那么多,下载了一个激活工具
于是乎在虚拟机里面运行,征召就是没有激活成功,出于敏感,我就随手敲了一个netstat -ano,于是乎,我发现了一个奇怪的链接
它用了我的49159和49160对外建立了一个连接,虽然连接是关闭的。我查了一下这个IP的归属地
根据老夫多年的撩妹经验来看,呃呃呃,跑题了。根据经验来看,我应该是中招了,敲一下tasklisk命令根据PID对应一下是那个程序在运行
输入
代码语言:javascript复制wmic process getname,executablepath,processid|findstr 2860
锁定这个文件的位置
我们来看一下
根据文件夹的名,去度娘搜索一下
麻辣香锅?根据简拼还真是这样的
好你个麻辣香锅,我看看你到底是什么配方做的!
掏出落灰的Nmap,全端口扫起来
瞧我这暴脾气,通过一段时间的扫目录,找到了好东西,存在未授权访问
新年快乐?我他喵的怎么快乐,查看一下数据
近一个月的记录,全国不知道有多少人中招了。。。
看到这里,我真是火冒三丈,太坑人了,每一天都有被坑的人
未造成合法进程的流氓程序
这次的木马,主要就是通过篡改浏览器主页来达到盈利的目的
警告大家,不要随意运行未知的exe,不要随便乱点,普通用户养成良好的杀毒习惯,绿色上网!