绝地求生插件外挂绑马分析

文件名称 :xb.exe

文件大小 :856064 byte

文件类型 :application/x-dosexec

MD5:fe62899995f4e887c84b319f007012cf

SHA1:2d241dd23b6a2691ad130506012b33265b4e8047

外挂作者QQ:l1176409432

外挂作者QQ(大概小号):179975356

外挂QQ群:697543134

外挂作者服务器:119.28.3.136

外挂作者收信地址:http://119.28.3.136/cs.php

 

0x00  

本来想给各位找一下某论坛的截图的 但是好像作者已经把帖子给删掉了 那我们直接看文件吧

 

0x01

文件下载来是一个rar的文件 自己改一下名字 加个压缩包的扩展名ZIP RAR都行 然后解压出来

绝地求生插件外挂绑马分析 第1张

写注册表 开机自启动

绝地求生插件外挂绑马分析 第2张

获取KEY 

绝地求生插件外挂绑马分析 第3张

检测是否存在杀软

绝地求生插件外挂绑马分析 第4张

绝地求生插件外挂绑马分析 第5张

绝地求生插件外挂绑马分析 第6张

绝地求生插件外挂绑马分析 第7张

绝地求生插件外挂绑马分析 第8张

0x02

绝地求生插件外挂绑马分析 第9张

目标会在C:\Windows\SysWOW64\创建一个名为XB.exe的一个文件

之前目标还有很多获取磁盘信息 CPU MAC 之类的 我都不放截图了(附件会有样本 有兴趣的自己可以看看)重点就我们看看这个xb到底是个什么东西 什么来头?

 

0x03

绝地求生插件外挂绑马分析 第10张

我已经把这个文件拿出来了具体就看看这是个什么东西

绝地求生插件外挂绑马分析 第11张

绝地求生插件外挂绑马分析 第12张

绝地求生插件外挂绑马分析 第13张

绝地求生插件外挂绑马分析 第14张

绝地求生插件外挂绑马分析 第15张

绝地求生插件外挂绑马分析 第16张

Game Over!