找回密码
 注册

QQ登录

只需一步,快速开始

搜索
点我反馈NEWZ系统包问题
网吧三国»技术社区 行业技术 技术大厅 又一个伪造易乐游程序搞破坏

又一个伪造易乐游程序搞破坏

RECKY 于 2020-11-13 15:45 [分享讨论] 发表在 [复制链接] [显示全部楼层] [打印] [上一主题] [下一主题]
本帖最后由 RECKY 于 2020-11-16 12:54 编辑

问题环境:       易乐游 2.3.4.1版本

问题现象:
       开机启动项有个未知的易乐游控制台图标的程序。

11.png

问题排查:
12.png
先看下属性,乍一看易乐游的,问了下易乐游的技术没有出过相关补丁。

13.png
开下杀毒程序运行下看看,直接报毒。

15.png
准备看下生成的文件签名,好家伙,在C:\windows\system\Lu3XXeLxROdDA45B目录下创建并运行Lu3XXeLxROdDA45B.exe 后就直接删除了Lu3XXeLxROdDA45B.exe,连运行的程序.exe那个文件也删除了。
14.png
复制了一份下载的程序看了下系统文件描述,系统文件???
20.jpg
16.png
17.png
过来二十来分钟直接删除了e-yoo目录的所有文件(随机出现),这个操作,妙呀!

看了下这个伪造程序下载器访问的地址:
20.png
http://server.slesr.com:65330/root/server_path.txt
21.png
http://server.slesr.com:65330/root/server_name.txt
22.png
http://server.slesr.com:65330/root/server_config.txt
查下域名今年4月份注册的:
26.png
看了下IP地址:
28.png
国内的IP地址,顺着网线不就找到了破坏者了。。。

问题解决:
19.png

1、直接删除对应的开机启动项。
2、将下方代码复制后添加到特征码拦截
3、路由上屏蔽slesr.com域名。
  1. CC9ADE3F7C74986ECFF3182550FCE14F
复制代码
发表于 2020-11-13 15:45:44 | 显示全部楼层 |阅读模式

回复 | 使用道具 举报

该帖共收到 2 条回复!
原程序有吗?有的话麻烦上传一下
发表于 2020-11-13 18:16:49 | 显示全部楼层

回复 | 支持 | 反对 使用道具 举报

六月飞雪 发表于 2020-11-13 18:16
原程序有吗?有的话麻烦上传一下

源文件: 000.rar (249.25 KB, 下载次数: 2066)


发表于 2020-11-16 12:35:27 | 显示全部楼层

回复 | 支持 | 反对 使用道具 举报

B Color Image Link Quote Code Smilies
高级模式
您需要登录后才可以回帖 登录 | 注册

本版积分规则

推荐板块

查看全部板块>>

美图秀

    • 英雄联盟穿越火线直接打开启动不了腾讯游戏
    • 删除客户机桌面一个图片,系统桌面文件夹没
    • 易乐游缓存设置失败
    • 卓威显示器540HZ-XL2586X刷新率设置540HZ不
    • 英伟达发布 552.22 驱动更新

热门活动

热门推荐

小黑屋|手机版|Archiver|联系我们|网吧三国

GMT+8, 2024-4-20 17:47 , Processed in 0.046722 second(s), 7 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表