找回密码
 注册

QQ登录

只需一步,快速开始

搜索
点我反馈NEWZ系统包问题

又一个伪造易乐游程序搞破坏

RECKY 于 2020-11-13 15:45 [分享讨论] 发表在 [复制链接] [显示全部楼层] [打印] [上一主题] [下一主题]
本帖最后由 RECKY 于 2020-11-16 12:54 编辑

问题环境:       易乐游 2.3.4.1版本

问题现象:
       开机启动项有个未知的易乐游控制台图标的程序。

11.png

问题排查:
12.png
先看下属性,乍一看易乐游的,问了下易乐游的技术没有出过相关补丁。

13.png
开下杀毒程序运行下看看,直接报毒。

15.png
准备看下生成的文件签名,好家伙,在C:\windows\system\Lu3XXeLxROdDA45B目录下创建并运行Lu3XXeLxROdDA45B.exe 后就直接删除了Lu3XXeLxROdDA45B.exe,连运行的程序.exe那个文件也删除了。
14.png
复制了一份下载的程序看了下系统文件描述,系统文件???
20.jpg
16.png
17.png
过来二十来分钟直接删除了e-yoo目录的所有文件(随机出现),这个操作,妙呀!

看了下这个伪造程序下载器访问的地址:
20.png
http://server.slesr.com:65330/root/server_path.txt
21.png
http://server.slesr.com:65330/root/server_name.txt
22.png
http://server.slesr.com:65330/root/server_config.txt
查下域名今年4月份注册的:
26.png
看了下IP地址:
28.png
国内的IP地址,顺着网线不就找到了破坏者了。。。

问题解决:
19.png

1、直接删除对应的开机启动项。
2、将下方代码复制后添加到特征码拦截
3、路由上屏蔽slesr.com域名。
  1. CC9ADE3F7C74986ECFF3182550FCE14F
复制代码




该帖共收到 2 条回复!
原程序有吗?有的话麻烦上传一下
发表于 2020-11-13 18:16:49 | 显示全部楼层

回复 | 支持 | 反对 使用道具 举报

六月飞雪 发表于 2020-11-13 18:16
原程序有吗?有的话麻烦上传一下

源文件: 000.rar (249.25 KB, 下载次数: 27)
发表于 2020-11-16 12:35:27 | 显示全部楼层

回复 | 支持 | 反对 使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

美图秀

    • 易乐游多服务器同步卡住问题的补丁
    • win10玩泡泡堂游戏无法全屏的解决方法
    • Win7玩魔兽争霸dota鼠标很飘如何解决
    • 《轩辕剑柒》:虽有不足,但仍值得一试
    • 《天外世界》:梦续新维加斯

小黑屋|手机版|Archiver|联系我们|网吧三国

GMT+8, 2020-11-27 21:48 , Processed in 0.113469 second(s), 10 queries , Gzip On, Memcache On.

Powered by 583go

© 2001-2013 58三国

快速回复 返回顶部 返回列表