首页
社区
课程
招聘
昨天半夜3点发现一个能看YOUKU会员视频的工具
发表于: 2015-4-29 09:36 6913

昨天半夜3点发现一个能看YOUKU会员视频的工具

2015-4-29 09:36
6913
http://bbs.pcbeta.com/forum.php?mod=viewthread&tid=1593776&page=1#pid43527859

本人亲侧,确实能打开看了,但是! 美中不足发现会生一个

会生成一个名为 goodme.exe的程序!!!!!经在线杀毒引擎验证了,似乎震的有木马,反正有后门行为是震的~~~~~~~~~~~~~~


希望论坛的上仙给做做手术,干掉小后门。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (15)
雪    币: 16402
活跃值: (1640)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
本人裸奔出行,不爱装杀毒软件,flash要升级到最新的,否则第一次会提示的。
发贴的说的是.net程序的,
可用扫壳程序发现是vc++的
生成的木马好像是易语言的……
还望论坛1等上仙们给做做手术,利国利民,谢谢。
2015-4-29 09:43
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
这种行为是不建议的,毕竟企业也是需要生存的。
2015-4-29 10:37
0
雪    币: 292
活跃值: (153)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4
这个有很多版本的! 你搜下别的论坛,我以前下载过一个,别用这个人的了。
2015-4-29 10:45
0
雪    币: 16402
活跃值: (1640)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
他的视频哪来的?没广大网友第一时间BT分享,他们的网站哪来的视频源?楞充正版~~
强插广告,一个两个就忍了……没完没了~~~
2015-4-29 10:58
0
雪    币: 16468
活跃值: (2493)
能力值: ( LV9,RANK:147 )
在线值:
发帖
回帖
粉丝
6
首先第一眼看上去.判断应该是易语言的..这样报毒也属正常了,,简单看了下,,后台操作还不少,初始化时,它会在临时文件夹生成sass.exe,sdss.exe两程序,,什么程序我就不知道了,反正不是好程序..懒得分析了,正如4楼说的,这种程序很多,- -至于视频源应该是提取优酷的(利用技术或BUG啥的- -了解的胸弟可以科普下)..不可能自己搭的.自己搭的就没必要解析url了.
2015-4-29 11:12
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
这种绕过验证看vip的软件有不少呢
2015-4-29 11:22
0
雪    币: 622
活跃值: (294)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
8
6楼差一点就说对了。
简单点:sass.exe就是你想要的。
复杂点:http://www.ifengkan.com/youkuvip/api/?v=http://v.youku.com/v_show/id_XOTE0NzUwNDky.htm
我就只能帮你到这了
2015-4-29 11:29
0
雪    币: 16402
活跃值: (1640)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
多谢指点,懂了,得到   sass.exe 就得到了,是吧~~~

昨天半夜有点困了,发现捉摸上有个goodme.exe生成的网址的指向。所以用www.virscan.org扫了下发现相当可疑。
另外似乎看到了进程中的那另外两个名了,一时忘记本了。

谢谢大家了。
2015-4-29 11:39
0
雪    币: 16402
活跃值: (1640)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
sass.exe是病毒体
sdss.exe是主程序
两个太相近了,很容易混淆的~~
2015-4-29 12:00
0
雪    币: 16402
活跃值: (1640)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
8楼的方法太赞了,一行代码就解析出来了,佩服高人!又学到了新东西。
2015-4-29 12:06
0
雪    币: 1392
活跃值: (5152)
能力值: ( LV13,RANK:240 )
在线值:
发帖
回帖
粉丝
12
** 膜拜大神
2015-4-29 15:04
0
雪    币: 16468
活跃值: (2493)
能力值: ( LV9,RANK:147 )
在线值:
发帖
回帖
粉丝
13
- -同膜拜.大神粗手,.就知道有木有.
2015-4-29 15:25
0
雪    币: 180
活跃值: (26)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
14
看不懂,可否麻烦详细点说下思路
2015-4-29 15:43
0
雪    币: 485
活跃值: (78)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
15
sass.exe
  释放一个XML,这个XML里面有配置,主要是导航网站
  根据你装的浏览器,创建对应浏览器的快捷方式,目标指向goodme.exe

goodme.exe
  解析自己的XML,读里面的内容然后打开。
   这程序最终目的就是要访问http://www.hao123.com/?tn=92214602_hao_pg
   

综上所述,这个严格来说并不算病毒,只能说是专刷流量的流氓软件!

C#写的那个不是简单调那个http://www.ifengkan.com/youkuvip/api/?v=

这个解析请求是有TOKEN的~~~~
2015-4-29 16:33
0
雪    币: 16402
活跃值: (1640)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
说的没错,注册表啥是干净的。
我虽裸奔,岂容流氓入住我的注册表?
2015-4-29 16:57
0
游客
登录 | 注册 方可回帖
返回
//