360 互联网Ningjing threat-collecting木马的核心监控大规模分布密集的网吧和大学计算机房。木马启动于2018年9月遍布全国。它将使用篡改等方法收集和建立网站运营方案遍布全国。它将使用篡改等方法收集和建立威胁客户端数据收集和监视QQ聊天抓住用户的秘密。
进一步调查之后我理解创建:在网吧或批评大学计算机房一个软件叫做“瑞琪无盘系统(招供版)”。这个软件用于植入威胁“鑫Ge木马”到用户的计算机。根据我们掌握的统计数据是罕见的60网吧和9所大学一直有效和威胁列表网站超过9000。信息比如用户QQ号码和聊天记录也将同时获得。特洛伊最终寻求巨额利润通过威胁网站重定向导航和检索游戏炸弹。特洛伊理解
叫AD_xxxxxx_UID的特洛伊木马。exe将通过这个忏悔的discless系统版本发布:
特洛伊木马木马文件信息收集威胁篡改DNS和主机。其操作系统如下:
实现过程图游戏菜单界面图安装过程
“瑞琪”服务终端逐步释放后的相关文件它将被更新中实现客户端的客户端踱来踱去和导游的刚性理想无盘收集系统。客户端游戏菜单节奏后被激活时它将读取自动启用MenuScreenConfig项目集。xml文件并自动执行它。? TopTen \ menu.dat�RichtechGameTool.exe郟rogramlog.exe郃D_xxxxxx_UID。exe终于实现了特洛伊木马的步伐。提供文件
自动项为了实现的技巧的三个洞穴兔子木马会将自身复制到目录的腾讯记者Adobe和其他常见的游戏软件来实现:
复制木马一步Adobe三峡工程目录代码片段
威胁网站的最后特洛伊被处决将生成一个本地脚本”腾讯。根据“基于Yunxiao数据。后运行该脚本它将篡改DNS和主机文件实现的威胁。同时木马也会返回用户信息到Yunxiao服务器数据库。返回的信息包括:机器名称MAC地址内部网络IP、外部网络IP等等
特洛伊获得Yunxiao数据库的威胁的本质
威胁后最大网站优化效果好等等
特洛伊获得Yunxiao数据库的威胁的本质
威胁后登录页面将乞求实际显示的服务数据库基于相应的UID。如果退化的方法然后跳到2345导航页面的频道数(k1828680)。在显示的页面甚至代码将用于浏览器控制台显示单词如“人类智慧是其部署”的核心能力:
钢笔和墨水在浏览器中显示控制台:
网页中的控制台输出代码的代码
记录QQ信息木马也会记录的信息登录QQ的机器上。简单的信息包括:IP地址沉闷的名称、登录时间、离线时间QQ号码QQ聊天记录文件记录时间等等
特洛伊木马记录QQ信息
特洛伊木马支持数据据统计我们得到我们不妨看到75000台电脑已经受到威胁这些电脑报道220万年的数据(2019年1月16日):返回信息数据库
部分受到有效的网吧和学校信息
基于IP的统计数据在数据库中我们创建了一个IP在广东的比例高达45.02%其次是湖南6.78%吉林4.98%河南4.8%广西4.52%。情况如下:
体验设备当地地图
追溯信息的基础上了解的信息在数据库中我们创建了这个木马团伙使用多级代理形式各自的特洛伊木马和存储威胁页面的域名申请表面“镇江* *收集科技有限公司”。:
代表数据库中的信息
威胁页面存储域名注册信息
根据信息我们不妨检查公司吗?年代重要的人员和公司结构:
镇江* *收集企业的重要结构和控制器科技有限公司有限公司
总结