该远控端,通过生成64的 shellcode,再经过编译免杀后放在放在exe里面上线,
上线后然后在uac提权,提权后,在扩展插件里面执行一个 结束36660.dll结束360 并且关闭核晶
关闭360后然后在功能→权限维持里面 写入驱动后门木马
该36660.dll插件,经过分析,里面利用了一个过父去执行wegame.exe文件去关闭360 和360核晶
这个过父要经过uac提权后才能够去执行操作,该过父可以利用系统任何的进程去执行文件,
例如利用360Safe.exe去执行wegame.exe
如果受害者在没有360卫士的情况下,打开该木马后可以直接uac提权后 写入后门驱动木马
并且该远控在提权后,火绒,管家等杀软,不需要关闭,可以直接写入驱动后门木马
该主控端经过破译后,已经上传,希望能帮助各位,目前该木马在快速传播 图片发不出去 就不发图片了 里面的插件可以利用很多的系统漏洞,
uac提权 结束360 写入驱动木马 结束微软杀毒 管家 火绒 等等
旧版本含插件已上传,最近对方团伙已发布了新版本
KeyGen-注册机.zip
(472.51 KB)
企业远程协助.zip
(35.18 MB)
|
|
|
|
评论
直达楼层