本文仅为日志记录,撰写于2020年,并已将所有样本上传,公示文件已经失效
利用cmd指令和rundll32.exe命令行成功绕过360主动达到绿色安装远程控制的目的
将资源加密封入DLL中,需用调用指令进行解密
2020年2月16日
成功运用白加黑原理,注入cmd.exe等系统文件内存运行小马,成功上线,无视杀软,过网购安全
应用程序名称:Gamebox.exe
数字签名:上海硬通网络科技有限公司广州分公司 (有效期:2019/2/22 到 2020/3/24)
可劫持DLL:Socks.dll
被调用函数:
SetConnectToProxyErrorCallback
SetProxyStatus
PingSocks5Proxy
SetConnectionReportCallback
SetHttpErroReportCallback
SetSocks5Proxy
启用后立即调用:PingSocks5Proxy
2020年2月17日
证券交易所下的子程序
应用名称:xiadan.exe
文件说明:网上股票交易应用程序
数字签名:Hithink RoyalFlush Information Network Co.,Ltd. (有效期:2013/12/2 到 2016/12/2)
可劫持DLL函数
;————————————————————————————–
[hcrypt.dll] 00DDFAA0
pkcCtrl
;————————————————————————————–
[hssl.dll] 00DDFAA8
hsslEnd
;————————————————————————————–
[HTMLayout.dll] 00DDFAB0
ValueInit
;————————————————————————————–
[lua5.1.dll] 00DDFAC0
lua_next
;————————————————————————————–
[sqlite30.dll] 00DDFAF0
sqlite3_step
学习
学习