你好:

     感谢你访问我的 Blog ,本博客只提供博主的技术经验分享,你可以在此做简单的留言和评论,我会抽空回复你;若是要深入交流探讨,请联系QQ:47853253或者加QQ群:12012081


 

网吧浏览器自动跳转...分析过程记录,好写策略

进程有以下进程,打开ProcMon64.exe却不会跳转了,,,,,。,

 抓到包了,具体过程如下:

C:\Program Files (x86)\E-yoo\eyoorun.exe创建C:\ProgramData\12409\SvrSvrSvr.exe和C:\ProgramData\12409\SvrSvr.exe

 

文件: C:\Program Files (x86)\E-yoo\eyoorun.exe

大小: 3758080 字节

文件版本: 1.0.3.777

修改时间: 2017年11月12日, 15:32:53

MD5: F67CC687AC83910B3B56F1F95D2D3AF3

SHA1: B7C577AAC94D3675E4045DBF9879E3E95494C09C

CRC32: 989B166B

 

文件: C:\ProgramData\12409\SvrSvrSvr.exe

大小: 54943 字节

修改时间: 2017年12月19日, 1:20:55

MD5: 37372E0DDFB35F7B3951EBD93D6D0969

SHA1: 8D26B823E3D64D4A097308745897A11CC055CD0C

CRC32: 97AB6E7A

 
文件: C:\ProgramData\17713\InitVMSvr.exe
大小: 55256 字节
修改时间: 2017年12月19日, 1:43:28
MD5: 151AD351D88A43CFC3B6C0AE78677814
SHA1: 5E0EF85B9A34A13B35479EC2A52E0EC6848FB9B5
CRC32: 59E51752
 

 

文件: C:\ProgramData\12409\SvrSvr.exe

大小: 3512352 字节

修改时间: 2017年12月19日, 1:20:55

MD5: 8F5E2BC6688DB3B83BA8EC2B635EA454

SHA1: 8A9EF968EBCE1AFD5159B67E9B6E4BBD804EE019

CRC32: E8283AC3

 

文件: C:\ProgramData\17713\InitVM.exe

大小: 3498264 字节

修改时间: 2017年12月19日, 1:43:28

MD5: 2478DB028798442A7E4BFC8A41C62B59

SHA1: F7034B876EDFE518299627017B8AAB421A479184

CRC32: E6290831

 

 

然后:C:\ProgramData\12409\SvrSvrSvr.exe创建C:\Users\Administrator\AppData\Local\Temp\ndbp\swqa.exe

swqa.exe,swqa.exe是随机进程名,该进程只要在进程列表里,打开浏览器就会自动跳转主页到:

https://www.so.com/?src=lm&ls=sm2078347&lm_extend=ctype:31

 

文件: C:\Users\Administrator\AppData\Local\Temp\ndbp\swqa.exe

大小: 1350144 字节

文件版本: 1.0.0.8

修改时间: 2017年12月19日, 1:21:16

MD5: FE415C1B897EE61E01074579017C9D07

SHA1: F898AC2BC6F9D4D4B945978A929FE7D9593D1BC4

CRC32: 338A977B

 

文件: C:\Users\Administrator\AppData\Local\Temp\ndbp\yuqnqp.exe

大小: 1350144 字节

文件版本: 1.0.0.8

修改时间: 2017年12月19日, 1:43:49

MD5: FE415C1B897EE61E01074579017C9D07

SHA1: F898AC2BC6F9D4D4B945978A929FE7D9593D1BC4

CRC32: 338A977B

 

文件: C:\Users\Administrator\AppData\Local\Temp\ndbp\who.exe

大小: 1350144 字节
文件版本: 1.0.0.8
修改时间: 2017年12月19日, 0:50:54
MD5: FE415C1B897EE61E01074579017C9D07
SHA1: F898AC2BC6F9D4D4B945978A929FE7D9593D1BC4
CRC32: 338A977B
 
 
文件: C:\Users\Administrator\AppData\Local\Temp\ndbp\z.exe
大小: 1350144 字节
文件版本: 1.0.0.8
修改时间: 2017年12月19日, 1:16:23
MD5: FE415C1B897EE61E01074579017C9D07
SHA1: F898AC2BC6F9D4D4B945978A929FE7D9593D1BC4
CRC32: 338A977B
 
 


[本日志由 lq3447 于 2017-12-23 07:23 AM 编辑]
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
评论: 0 | 引用: 0 | 查看次数: 437
发表评论
你没有权限发表留言!