上周听群里老哥聊起那个叫"NTR伴侣村"的邪乎地方,说村里搞了个什么秘传APP,我寻思这玩意儿肯定扯淡,结果越扒料越觉得离谱。行,干脆自己动手搞个全流程记录,给大伙趟趟路。
第一步:翻墙蹲资源站
大清早蹲马桶就摸出手机,先把梯子挂上。翻了几个常去的折腾论坛,发现讨论帖全被删得只剩标题。干脆切换英文关键词搜,在犄角旮旯的磁力站扒到个种子文件,文件名就写着《NTR_custom_*》,发布时间刚过24小时。
第二步:解包藏陷阱
用老掉牙的迅雷拖完压缩包,杀毒软件吱哇乱叫。心一横关了防护双击解压,里头就三个文件:
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
- 伪装成记事本的"村民登记表.exe"
- 文件名乱码的dll文件
- 看着像攻略的txt文档
按txt里写的,先往系统文件夹塞那个dll,接着运行伪装程序。鼠标指针转了半天圈才弹出破木框界面,全是歪歪扭扭的日文假名。
第三步:虚拟机试毒
这破程序界面连关闭按钮都没有,任务管理器都宰不掉。赶紧祭出闲置的测试机,整个系统快照备份。开着资源监视器看,发现它往注册表塞了二十多条启动项,还疯狂读写AppData文件夹。折腾半小时突然蓝屏,重启后桌面壁纸被换成张阴间婚宴图。
第四步:逆向拆组件
火大了直接上PE工具开扒。那个假记事本程序捆了三层壳,核心代码就干两件事:
- 每十分钟访问特定IP
- 往浏览器缓存里注射脚本
更绝的是婚宴图自带水印,扫描二维码跳转到钓鱼网站。dll文件会劫持系统网络请求,所有https流量都被中间人攻击。
第五步:毁尸灭迹
立马断网进安全模式,注册表挨个手动删启动项。AppData里揪出六个伪装成jpg的vbs脚本,系统字体文件夹还多出个带后门的ttf文件。用磁盘工具擦写三遍才敢重装系统。
搞完瘫在椅子上冒冷汗,这破玩意比挖矿病毒还毒。所谓"淫习"压根没见着,倒被塞了满屁股木马。劝诸位老哥看到类似资源直接Shift+Delete,好奇真能害死猫。
折腾后记:后来跟网络安全哥们喝酒才知道,这玩意最近在暗网流转,专钓想猎奇的老哥。中招的机器都被当成肉鸡组僵尸网络,早上扒那个资源站IP早跑路了。想想都后怕,幸亏用测试机试毒,主用机差点交代进去。