最新消息:本站【魔域私服发布网】每日更新魔域相关资讯文章,每日发布精选魔域私服,各种版本,应有尽有。来吧!兄弟!一起体验经典吧!

魔域私服里城堡文件位置-谨慎Nitol僵尸收集家族变种!

心得攻略 admin 10浏览 0评论

【文章摘要】 腾讯平安反病毒实验室发明一个名叫快猴网()的下载站经过在一些游戏辅佐工具包里置入lpk病毒,坐等“肉鸡”入坑。

0x1 概略

腾讯平安反病毒实验室发明一个名叫快猴网()的下载站经过在一些游戏辅佐工具包里置入lpk病毒,坐等“肉鸡”入坑。

在裸机情况下,受害者在快猴下载站自动下载并运转本人需求的游戏辅助工具,,一旦同目次下的辅助工具运转,,,以争夺本身更多的加载履行时机、更长的生命周期、更深的潜藏和隐蔽,,这个EXE病毒会毗邻&接管C2服务器的指令并建议DDOS进犯,电脑设备完整沦为Nitol的“肉鸡”。

魔域私服里城堡文件位置

尽人皆知 Nitol源码公然以后,各类分歧和谈的Nitol版本病毒衍生而出。今朝Nitol家族依然是占据在Windows情况下Botnet的“活跃分子”。,,会向包孕U盘等可挪动磁盘、,以到达这些劫持进犯的目标。

2012年在一项代号b70的动作中,微软发明,中国某些零售商在出售电脑时,会在Windows零碎中装恶意软件。在全部发卖进程中,为电脑装置恶意软件能够跟随便一个发卖环节都有关系,从出厂到运输,到出售。此中在一项针对Nitol僵尸收集的研讨中,微软的专家在中国的分歧城市采办了一些电脑,发明约有20%都在出厂时传染了恶意软件。那时Nitol的很多C2都指向了 ,为阻挠了Nitol僵尸收集的舒展,,经过DNS重定向阻挠了370万恶意软件向此网站的毗邻。

2017年4月包括了永久之蓝(”EternalBlue”)MS-010缝隙的NSA武器库被匿名黑客发布,除臭名远扬的”EternalBlue”+WannaCry讹诈病毒以外,”EternalBlue”+Nitol病毒也狼狈为奸,疾速传布。在腾讯电脑管家等国际安全软件的强力防护下,”EternalBlue”的威力不再,行使其他体式格局传布的Nitol病毒显现视野,“快猴网”投毒软件包,该种水坑攻击方式的泛起并不不测。

0x2 传播方式

“快猴网”游戏相关版块下的少量软件包被投毒,。从文件的置入时候判定,,。

从核心信息来看,快猴网均匀天天有10W+的用户接见,经过QQ群搜刮“kuaihou”,可以发明有少量的游戏爱好者组建的相关游戏QQ群,群通知布告里均能看到“快猴网”的链接地址,不难理解“快猴网”在一些游戏爱好者中的“口碑位置”,也恰是这些游戏爱好者会经过“快猴网”下载一些游戏或辅助工具。

一旦有受害者传染Nitol病毒,病毒还会测验考试停止横向传布。

1. ,以包管其可以更好启动履行; 此时若是受害者计算机毗邻了U盘、移动硬盘等可挪动前言,。

2. 别的Nitol病毒一旦有时机履行还会经过弱暗码扫描,进而行使ipc$和默许同享入侵近程电脑。

0x3样本阐明

1.

,,,除停止备份传染传布外,。

2. Nitol病毒程序

样本加了upx紧缩壳,,加壳后文件只要20KB 。

魔域私服里城堡文件位置

Nitol病毒接管并履行C2服务器发来的指令, 可下载、更新、删除病毒木马、经过履行Cmd饬令翻开IE浏览器弹出网页,别的还可以经过C2近程指令停止syn flood、tcp flood、http flood三大DDOS进犯向量。同时Nitol可以经过IPC$同享停止横向传布。

1) 新传染Nitol的机械会检测本身是不是运转在windows目次下,若是不在,则拷贝本身到系统目录,文件名为6个随机小写字符:

2) Nitol拷贝到windows目次后,会经过建立一个名为“Mnopqr Tuvwxyab fafffs“的效劳完成自启动。

3) Nitol病毒经过弱口令字典测验考试接见IPC$同享,以到达传染内网的目标。

4) 紧接着完成IPC$同享传染后,病毒程序就会建立线程,毗邻C2服务器,接管并履行来自于C2服务器的指令。

a) C2地址以密文方式存在于文件中,加密算法为base64+凯撒移位+异或

b) 病毒会凭据C2服务器的指令停止随便文件的下载更新、弹出IE网页,以对方针零碎停止以下类型的DDOS进犯

i. SYN Flood

ii. TCP Flood

iii. HTTP Flood

c) 近程指令以下:

3. IOCs

1) “快猴网”部份被投毒的软件包。

2) C2服务器

a) “快猴网“Nitol僵尸收集的C2。

b) 其他部份Nitol僵尸收集C2地址(f3322是今朝首要的C2服务器,域名与之前的3322域名有不行描绘的相似性)。

3) 快猴DDOS进犯环境

4) Nitol病毒感染散布

0x4平安建议

对此类病毒从泉源传布到横向传布,电脑管家均可以停止无效的进攻和查杀,建议恢弘网友保持良好的上彀习气,连结电脑管家的正常开启,不要由于利用外挂、辅佐类东西而苟且封闭或加入电脑管家,利用挪动前言在别人装备拷贝文件时注重电脑管家U盘防护的提示建议。

推荐浏览:特殊软件站

言语:简体中文 性质:国产软件 软件巨细: MB

求生之路2毛瑟C96手枪MOD,它替代了游戏内的乌兹冲锋枪。毛瑟C96也可以叫驳壳枪,是一种由毛瑟在1896年推出的全自动手枪,因其枪套是一个木质的盒子,所以在中国称为“匣子枪”或“盒子炮”。模子取材自经典FPS游戏《DOD:S成功之日》傍边,作者好复原了原作中的兵器外观,同时替代了帅气的换弹举措及射击音效,有爱好的

推荐浏览:网络游戏专区

周晨名:#魔域#: 我是一个很爱玩魔域的玩家 2010年的时辰36大区6小区玩到700多站就没玩了 是因为打年输的 连BB配备都卖了 也由于很多多少密友都不在了 还有就是 目下当今高战的太多 1000站以下 底子没什么用 去了神域也是被虐 ú…[具体]

2014-10-03 00:24:59 发自腾讯微博

转载请注明:魔域私服发布网 » 魔域私服里城堡文件位置-谨慎Nitol僵尸收集家族变种!

发表我的评论
取消评论
表情