|
今天打开Frp管理后台看一下流量使用情况,发现这个一直在线,好奇打开一看,好家伙,居然搞挂马。。
WRNMMMP
网址:(PS:不要随便打开那个网址,别裸奔中招)
源代码和释放svchost:
火绒提醒:
操作进程命令行:
- "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=utility --utility-sub-type=network.mojom.NetworkService --field-trial-handle=2008,5997072188492599094,2688965234388136357,131072 --lang=zh-CN --service-sandbox-type=none --mojo-platform-channel-handle=2168 /prefetch:8
复制代码
释放病毒文件
当svchost.exe启动后会将代码注入到IEXPLORE.EXE进程中,然后遍历全盘并感染EXE、DLL、HTML、HTM文件,用于传播自身。感染逻辑以及运行截图,如下所示:
感染逻辑
······
那么问题来了,我该怎么样抓住这个坏B |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|