全球主机交流论坛

标题: 好家伙，免费提供Frp，居然有人做挂马网站 [打印本页]

作者: 城里的月光 时间: 2021-11-22 05:43
标题: 好家伙，免费提供Frp，居然有人做挂马网站
本帖最后由城里的月光于 2021-11-22 06:59 编辑

今天打开Frp管理后台看一下流量使用情况，发现这个一直在线，好奇打开一看，好家伙，居然搞挂马。。
WRNMMMP

网址：（PS：不要随便打开那个网址，别裸奔中招 ）

源代码和释放svchost：

火绒提醒：

操作进程命令行：

"C:\Program Files\Google\Chrome\Application\chrome.exe" --type=utility --utility-sub-type=network.mojom.NetworkService --field-trial-handle=2008,5997072188492599094,2688965234388136357,131072 --lang=zh-CN --service-sandbox-type=none --mojo-platform-channel-handle=2168 /prefetch:8

复制代码

释放病毒文件

当svchost.exe启动后会将代码注入到IEXPLORE.EXE进程中，然后遍历全盘并感染EXE、DLL、HTML、HTM文件，用于传播自身。感染逻辑以及运行截图，如下所示：

感染逻辑

······
那么问题来了，我该怎么样抓住这个坏B

作者: Meocat 时间: 2021-11-22 05:51
坏b

作者: 城里的月光 时间: 2021-11-22 05:55

Meocat 发表于 2021-11-22 06:51
坏b

MD，好心好意提供免费frp给大家用，机子闲着也是闲着，发现居然有人搞这个。。。

作者: phpsky 时间: 2021-11-22 06:33
查出来让你背锅

作者: acg88 时间: 2021-11-22 06:38
你应该等他下次找上门暗地里给他也装个shell，这样就有点无间道互相摆卧底的味道了

作者: 姊姊 时间: 2021-11-22 06:44
本帖最后由姊姊于 2021-11-22 06:45 编辑

这玩意我以前也中过然后那电脑里全部html都带这一大段
有可能也是在不知情的情况下被加的吧..？

作者: 冲浪麦浪花郎 时间: 2021-11-22 07:38
黑吃黑可以吗？

作者: dollaring 时间: 2021-11-22 08:13
小心免费饭

作者: diocat 时间: 2021-11-22 08:55
这个世界不存在公益，因为都被人干死了

作者: xtot720 时间: 2021-11-22 09:17

姊姊发表于 2021-11-22 06:44
这玩意我以前也中过然后那电脑里全部html都带这一大段
有可能也是在不知情的情况下被加的吧..？ ...

对的，电脑中毒了

作者: HOH 时间: 2021-11-22 09:45
什么年代了还能让浏览器挂马反思一下吧

作者: future 时间: 2021-11-22 12:27
用chrome内核的浏览器，应该就没事的

作者: AaronYYDS 时间: 2021-11-22 12:30
好坏哦这个人

作者: sizzlingbun 时间: 2021-11-22 12:38
免费饭预警啊楼主

作者: fatal 时间: 2021-11-22 13:09
公益做不得

作者: 告辞 时间: 2021-11-22 13:20
好人难当

作者: gyjys43043 时间: 2021-11-22 13:28
怎么下载不到了？还想拿来做做分析

作者: 城里的月光 时间: 2021-11-22 18:34

HOH 发表于 2021-11-22 10:45
什么年代了还能让浏览器挂马反思一下吧

我没中招….刚好抓到它

作者: 风铃 时间: 2021-11-22 18:42
这个是被感染了这个病毒远古病毒了，哪来的挂马

作者: 美国总统奥巴马 时间: 2021-11-22 18:43
人家想免费请你吃饭，你别不识好歹

作者: 城里的月光 时间: 2021-11-22 18:53

风铃发表于 2021-11-22 19:42
这个是被感染了这个病毒远古病毒了，哪来的挂马

是不是感染不好说，谁知道它是不是想练练手

作者: addtool 时间: 2021-11-22 19:29
全盘感染和加密的那种，就是畜生干的事情。

作者: hising 时间: 2021-11-22 20:06
想送你吃免费饭。。。。

作者: Slime 时间: 2021-11-22 21:17
本帖最后由 Slime 于 2021-11-22 21:25 编辑

特意用XP+IE6打开这个网站，一点反应都没有

把IE安全等级调到低终于能下载了，这个文件好像有些问题，无法运行

文件下载https://anonfiles.com/1fc4CdWeua/svchost_exe

作者: dj215 时间: 2021-11-22 21:50
这不一定是他干的，也可能被挂马了，也可能下载回来就有这个东西~

作者: jamesbonde 时间: 2021-11-22 21:54
经过这么多年，我发现一个真理：千万不要干好事，因为很多人都会剥削别人的善意。

作者: 城里的月光 时间: 2021-11-22 21:57

Slime 发表于 2021-11-22 22:17
特意用XP+IE6打开这个网站，一点反应都没有把IE安全等级调到低终于能下载了，这个文件好像有些问题，无法 ...

不知道，我是用chrome打开的，自动下载。。NND

作者: 呵呵哒 时间: 2021-11-22 22:18
先跑路，这是你的FRP

作者: youzi 时间: 2021-11-22 22:32
这是你的啊我还用过

作者: 城里的月光 时间: 2021-11-22 23:06

youzi 发表于 2021-11-22 23:32
这是你的啊我还用过

对呀，感觉咋样啊老板

作者: Slime 时间: 2021-11-23 03:51
本帖最后由 Slime 于 2021-11-23 05:01 编辑

城里的月光发表于 2021-11-22 21:57
不知道，我是用chrome打开的，自动下载。。NND

IE不经过配置都不会下载这个文件，chrome根本不支持VBS，更不可能自动下载，只是杀毒软件检测到网络流量里有病毒而已，给你阻断了，你试试用curl superman.kr.freefrp.club，都是下载完那一长串WriteData，就重置连接了

你发的那个命令行没有问题，正常chrome的命令行就是这么长

作者: hins 时间: 2021-11-23 09:31
挂马都是多少年前的事情了现在居然还有

欢迎光临全球主机交流论坛 (https://d.168530.xyz/)