在使用 Cheat Engine 时,切勿随意加载后缀为 .CT 的文件,其中可能存在恶意代码,造成数据损失。
近期一例破坏性样本分析:
在加载脚本时,Cheat Engine非常负责任的将即将执行的Lua脚本提前告知了用户:
被括起的位置即为加密的lua恶意代码
对其进行解密并反编译后,发现其源代码如下:
执行的操作如下:
生成 del.bat。该脚本执行的操作为:
删除当前目录下所有CT文件(自我销毁)
复制该脚本到 Windows 系统目录下并设定开机自动运行
修改注册表,禁止访问控制面板
生成 start.vbs,用于执行上一个脚本。
生成 pizdec.bat。该脚本执行的操作为:
删除 C 盘的所有文件夹
删除 Program Files 文件夹内所有文件
创建大量的目录
将 .lnk 文件的扩展名关联为 .txt
删除一个可能用于远程支持的默认帐户 SUPPORT_388945a0
创建一个名为 hacker 的新帐户并将其赋予管理员权限
删除 SUPPORT_388945a0 用户的常规权限,并通过注册表隐藏该帐户,防止它在登录时出现。
生成 pizdecStart.vbs,用于执行上一个脚本。
生成 MegaPizdec.bat。该脚本执行的操作大致如下:
删除C:\ntldr、C:\Windows,会造成系统崩溃
利用注册表修改用户配置和策略,限制用户的操作,隐藏驱动器,修改Windows桌面行为、禁止任务管理器,禁止注册表工具等
复制当前脚本文件到系统目录并重命名为user32dll.bat,最后设定开机自动运行
发送电子邮件通知攻击者,表明目标已被感染
生成 MegaPizdecStart.vbs,用于执行上一个脚本。
那么,又一个问题来了,杀毒软件能防住吗?
答案当然是可以的,下面是测试:
360双击拦截
卡巴斯基解压拦截
一些建议:
谨慎运行未知来源的文件,即使该文件需要通过其他工具加载。同时,请相信杀毒软件的报告。
近期一例破坏性样本分析:
在加载脚本时,Cheat Engine非常负责任的将即将执行的Lua脚本提前告知了用户:
被括起的位置即为加密的lua恶意代码
对其进行解密并反编译后,发现其源代码如下:
执行的操作如下:
生成 del.bat。该脚本执行的操作为:
删除当前目录下所有CT文件(自我销毁)
复制该脚本到 Windows 系统目录下并设定开机自动运行
修改注册表,禁止访问控制面板
生成 start.vbs,用于执行上一个脚本。
生成 pizdec.bat。该脚本执行的操作为:
删除 C 盘的所有文件夹
删除 Program Files 文件夹内所有文件
创建大量的目录
将 .lnk 文件的扩展名关联为 .txt
删除一个可能用于远程支持的默认帐户 SUPPORT_388945a0
创建一个名为 hacker 的新帐户并将其赋予管理员权限
删除 SUPPORT_388945a0 用户的常规权限,并通过注册表隐藏该帐户,防止它在登录时出现。
生成 pizdecStart.vbs,用于执行上一个脚本。
生成 MegaPizdec.bat。该脚本执行的操作大致如下:
删除C:\ntldr、C:\Windows,会造成系统崩溃
利用注册表修改用户配置和策略,限制用户的操作,隐藏驱动器,修改Windows桌面行为、禁止任务管理器,禁止注册表工具等
复制当前脚本文件到系统目录并重命名为user32dll.bat,最后设定开机自动运行
发送电子邮件通知攻击者,表明目标已被感染
生成 MegaPizdecStart.vbs,用于执行上一个脚本。
那么,又一个问题来了,杀毒软件能防住吗?
答案当然是可以的,下面是测试:
360双击拦截
卡巴斯基解压拦截
一些建议:
谨慎运行未知来源的文件,即使该文件需要通过其他工具加载。同时,请相信杀毒软件的报告。
