|
遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人” 今天有朋友下载了一个软件: 第一微销微信自动加粉丝软件 电脑版 运行后,电脑出现问题(爆卡),随后检查,发现 GoTop 挂机刷钱非法病毒软件一枚,清理之后,留下了安装包样本,随后进行了简单的分析,顺道爆爆刷钱“黑客”菊花…… 这里把研究记录发出来…… 解压后:
 执行 Setup.exe 后无任何反应,实际上是静默安装了“gotop”,直接将官方的压缩包和他的配置文件解压到系统目录,然后退出了。 (核总吐槽:你妈逼,你好歹也显示个“自动加粉丝软件”的假界面忽悠一下人吧,尼玛直接静默安装GoTop,然后啥都不干,让人感觉这软件没反应,明显感觉像是中了木马,傻子都知道有问题!)
 创建了一大堆文件(具体列表已放入病毒样本压缩包中),这里贴上一个简洁列表: …… c:\WINDOWS\browser\*.* 说明:这是GoTop浏览器(gotopbr.exe)的目录,其实就是封装了一个 Google Chrome (谷歌浏览器),用来访问各种广告的,一大堆文件…… …… c:\Documents and Settings\Administrator\Application Data\gotop\*.* 说明:这是gotop的数据储存目录。 …… c:\Documents and Settings\Administrator\Application Data\HC_logs 创建了 c:\Documents and Settings\Administrator\Application Data\HC_logs\Prog 创建了 c:\Documents and Settings\Administrator\Application Data\HC_logs\Prog\hc.bat 创建了 c:\Documents and Settings\Administrator\Application Data\HC_logs\Prog\winUp.exe 创建了 c:\Documents and Settings\Administrator\Application Data\HC_logs\Ver 创建了 c:\Documents and Settings\Administrator\Application Data\Mozilla 创建了 c:\Documents and Settings\Administrator\Application Data\Mozilla\Extensions 创建了 …… c:\WINDOWS\etc 创建了 c:\WINDOWS\etc\config.ini 创建了 c:\WINDOWS\etc\data.db 创建了 c:\WINDOWS\etc\data.db-journal 创建了 c:\WINDOWS\etc\GoTop-n.ico 创建了 c:\WINDOWS\etc\lang.ini 创建了 c:\WINDOWS\GoTop.exe 创建了 c:\WINDOWS\GoTop.exe.manifest 创建了 c:\WINDOWS\Microsoft.VC90.CRT.manifest 创建了 c:\WINDOWS\msvcp90.dll 创建了 c:\WINDOWS\msvcr90.dll 创建了 c:\WINDOWS\Prefetch\GOTOP.EXE-1D89AB12.pf 创建了 c:\WINDOWS\Prefetch\GOTOPBR.EXE-37CD95AB.pf 创建了 c:\WINDOWS\Prefetch\HOOK全盘文件创建的监控.EXE-20FFD5D8.pf 创建了 c:\WINDOWS\UnInstall.exe 创建了 c:\WINDOWS\UnInstall.exe.manifest 创建了 c:\WINDOWS\使用说明.txt 创建了 说明:以上是 GoTop 的完整程序文件及目录。 …… 释放完毕后,直接启动 c:\WINDOWS\GoTop.exe,由于之前已配置过,所以这里已经开始隐藏刷广告了(中毒电脑明显感觉卡顿,GoTop垃圾软件优化太差了,之前的文章也骂过一次,这里不多说了)。 这里多说几句,此人的广告刷钱病毒有个小缺陷,可能是由于他封包的时候漏了几个dll文件,导致 gotopbr.exe (目测是gotop的模拟浏览器模块)不停的报错,真你妈蛋疼! 回到正题,释放了一堆文件后,又在注册表不同位置分别创建了两个启动项,以实现 GoTop.exe 开机启动: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "GoTop"="C:\\WINDOWS\\GoTop.exe --AutoRun" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "gotop"="C:\\WINDOWS\\gotop.exe" 再来看看病毒释放的文件,其中最有价值的莫属 GoTop 配置文件了,之前有篇文章中也讲过,详细剖析过这个玩意儿,这里不多讲了,各位可以去看之前的文章了解更多信息。 使用记事本打开:c:\WINDOWS\etc\config.ini 得到牧马人(“病毒作者”)账号密码信息: [AccountDetail] userId=767455 wd5=8f251253da7d8517652781e786f94aeb [deploy] IsAutoLogin=true IsHideUi=true speed=High IsNotHomeUi=true 呵呵,淫荡的核总难道没教过你怎么利用么?? 直接登录!哦呵呵~~~
 再去官网看看个人账户:
 收集到一大堆个人信息哟: 账户信息 用 户 名:zxr0925 可用积分:441129 下级加分:347 历史积分:1161129 电子邮箱:1565210556@qq.com 支 付 宝:zkx1208@sohu.com 上次登录:2013-03-11 22:51:54 用户ID:767455 今日积分:10122 昨日积分:27085 QQ:1565210556 真实姓名:张开县 注册时间:2013-03-11 22:51:54 代金券余额:0 可用积分折合人民币约:441129/10000*2 = 88.2258 元(2元人民币(¥)/10000积分) 继续深入,看看提现记录: 交易ID 创建时间 币种 数量 单价 价格 收款姓名 收款账号 状态 1020182 2013-05-14 09:08:26 人民币(¥) 48 2 96 张开县 zkx1208@sohu.com 已完成(2013-05-14 11:04:47) 1018413 2013-05-02 15:58:05 人民币(¥) 9.5 2 19 张开县 zkx1208@sohu.com 已完成(2013-05-02 21:02:45) 1017567 2013-04-24 22:53:42 人民币(¥) 3.5 2 7 张开县 zkx1208@sohu.com 已完成(2013-04-25 15:47:27) 1017091 2013-04-19 22:13:43 人民币(¥) 7 2 14 张开县 zkx1208@sohu.com 已完成(2013-04-20 11:59:08) 1015614 2013-04-06 20:38:49 人民币(¥) 1 2 2 张开县 zkx1208@sohu.com 已完成(2013-04-07 12:40:58) 1014793 2013-03-30 10:54:46 人民币(¥) 1 2 2 张开县 zkx1208@sohu.com 已完成(2013-03-30 17:21:17) 1014394 2013-03-26 19:04:38 人民币(¥) 1 2 2 张开县 zkx1208@sohu.com 已完成(2013-03-26 20:17:48) 1013919 2013-03-22 11:00:57 人民币(¥) 1 2 2 张开县 zkx1208@sohu.com 已完成(2013-03-22 20:07:25)
 看来熊孩子才做没多久嘛,才赚 72 元就栽在核总手里了(不排除有多个账号同时操作,以防止被人爆菊,减少损失),算你倒霉…… 居然还有个下级账号(熊孩子抓鸡收徒了?): 共1位下级 用户ID 注册时间 注册IP 上次登录 774169 2013-05-16 23:03:51 119.124.222.230 2013-05-16 23:03:51 IP: 119.124.222.230, 来自: 中国广东省河源市电信
 继续:
 真实姓名:张开县 电子邮箱:1565210556@qq.com 安全邮箱:goodyear12@yahoo.cn QQ:1565210556 支付宝:zkx1208@sohu.com 24小时内客户端:
 24小时内 客户端(合计: 276) 创建时间▼▲ IP IP指向 遍历次数▼▲ 最后更新▼▲ 2013-05-29 11:43:59 220.181.157.226/32 北京市 0 2013-05-29 11:43:59 2013-05-29 11:40:48 123.116.76.142/32 北京市 0 2013-05-29 11:40:48 2013-05-29 11:37:10 221.204.155.195/32 山西省太原市 0 2013-05-29 11:37:10 2013-05-29 11:36:41 218.5.56.3/32 福建省厦门市 0 2013-05-29 11:36:41 2013-05-29 11:35:32 113.97.85.23/32 广东省深圳市 0 2013-05-29 11:35:32 2013-05-29 11:34:26 122.230.85.187/32 浙江省湖州市 0 2013-05-29 11:34:26 2013-05-29 11:33:25 125.66.193.77/32 四川省攀枝花市 0 2013-05-29 11:33:25 2013-05-29 11:31:48 222.92.134.98/32 江苏省苏州市 0 2013-05-29 11:31:48 2013-05-29 11:11:21 123.116.68.129/32 北京市 0 2013-05-29 11:11:21 2013-05-29 11:11:15 111.227.10.100/32 河北省唐山市 0 2013-05-29 11:11:15 2013-05-29 11:10:01 59.58.72.194/32 福建省宁德市 25 2013-05-29 11:32:37 2013-05-29 11:07:40 114.83.22.119/32 上海市青浦区 48 2013-05-29 11:46:52 2013-05-29 10:59:40 27.159.106.22/32 福建省莆田市 0 2013-05-29 10:59:40 2013-05-29 10:58:36 113.12.51.130/32 广西南宁市 0 2013-05-29 10:58:36 2013-05-29 10:53:17 113.135.124.179/32 陕西省西安市 0 2013-05-29 10:53:17 2013-05-29 10:47:37 112.11.28.40/32 浙江省嘉兴市 49 2013-05-29 11:35:14 2013-05-29 10:44:40 120.14.123.231/32 河北省邢台市 250 2013-05-29 11:41:41 2013-05-29 10:43:56 111.16.34.93/32 山东省 0 2013-05-29 10:43:56 2013-05-29 10:43:47 180.223.59.160/32 辽宁省沈阳市 25 2013-05-29 11:30:52 2013-05-29 10:39:53 222.44.138.2/32 上海市 48 2013-05-29 11:31:55 2013-05-29 10:39:13 27.45.252.159/32 广东省佛山市 0 2013-05-29 10:39:13 2013-05-29 10:31:53 114.243.49.45/32 北京市朝阳区 0 2013-05-29 10:31:53 2013-05-29 10:28:52 112.13.232.95/32 浙江省宁波市 0 2013-05-29 10:28:52 2013-05-29 10:23:38 183.141.43.192/32 浙江省嘉兴市 0 2013-05-29 10:23:38 2013-05-29 10:22:58 218.16.63.107/32 广东省东莞市 0 2013-05-29 10:22:58 写在最后:
简单的百度谷歌了一下QQ(看来熊孩子常年做网赚嘛),信息极多,社工库什么的就不讲了,户口本已到手,报不报警神马的、完全取决于某人心情…… 最后,讲一下此病毒的清理方法,很简单: 1、结束掉所有GoTop进程,例如:GoTop.exe, GoTopbr.exe 2、删掉所有相关文件,也就是上边那个文件列表。 3、删掉上边所说的那两个启动项。 最后重启,完事! |
|
|
