这是一个创建于 3144 天前的主题,其中的信息可能已经有所发展或是发生改变。
http://www.freebuf.com/articles/system/101447.html
看完背后发凉 妈的这就是中国的棱镜门啊
 |
1
21grams 2016-04-15 11:17:30 +08:00
企鹅药丸
|
 |
2
yksoft1 2016-04-15 13:33:23 +08:00
这个木马其他地方都很正常,问题就在于这个通信方式需要在用户可控范围之外做手脚才能实现。
|
 |
3
xmoiduts 2016-04-15 13:51:53 +08:00 via Android
所以说 120.52.72.0/15 等设备是一盘大棋呀
|
 |
4
Mutoo 2016-04-15 13:53:32 +08:00
针对特定人群的 GOV 马
|
 |
5
Jankst 2016-04-15 13:56:52 +08:00
这这这。。。太可怕了 。。这玩意儿难不成真是 GOV 搞的?只是我大企鹅怎么有勇气给拦截了,然后还给出这样一个详细的分析报告?
|
 |
6
c0878 OP 可推断墙不止是在出口有部署 全国城域网内应该也有相关设备收集数据
|
 |
7
xdeng 2016-04-15 14:25:20 +08:00
不止 gov 劫持到关键节点的黑客也可以这么玩吧
|
 |
8
panlilu 2016-04-15 14:50:10 +08:00
大写的服气
|
 |
10
lhbc 2016-04-15 15:16:24 +08:00
下一版 QQ 电脑管家更新日志:修复能查杀 DCM 木马的 bug
|
 |
12
venster 2016-04-15 16:01:48 +08:00
我觉的这个似乎是有针对性的对某个跨国公司采取的商业行为吧?
|
 |
13
oldcai 2016-04-15 16:05:15 +08:00  1
我刚还想,以后得找个冷门点的杀软了,结果一看列表, 43 个,只有想不到的,没有过不掉的。
感觉这才是国家级的项目的水平,什么 12306 简直不算。 感觉又有希望了,祖国欣欣向荣。 |
 |
14
inoricho 2016-04-15 16:07:29 +08:00
头一次对企鹅这么服过。
|
 |
15
mc468ma 2016-04-15 16:09:05 +08:00 via Android
有人评论,电脑管家不懂事π_π
|
 |
16
Phariel 2016-04-15 16:10:48 +08:00 via iPhone
PR 懵逼了 鹅厂药丸 doge
|
 |
17
KenGe 2016-04-15 16:22:02 +08:00
马化腾这搞过头了啊
|
 |
18
VmuTargh 2016-04-15 16:23:20 +08:00
用 F-PROT
|
 |
19
fengxiang 2016-04-15 16:25:51 +08:00 via Android
这一定是美帝的阴毛。('・ω・')
|
 |
20
gimp 2016-04-15 16:36:02 +08:00
服!
|
 |
21
vtea 2016-04-15 16:40:49 +08:00 via iPhone
我想知道怎么才能检查自己中没中招
|
 |
22
kkhaike 2016-04-15 16:45:31 +08:00
哪里有样本。。学习下
|
 |
23
percentsfg 2016-04-15 16:46:41 +08:00
这防不胜防啊,另外这木马功能怎么这么奇怪。
|
 |
24
momou 2016-04-15 17:09:08 +08:00
谍战大片啊。。。
|
 |
25
shutongxinq 2016-04-15 17:25:05 +08:00
卧槽这个也太强了。针对 Gmail 和向 baidu , 163 通过发 dns 包通讯...只能说是天朝
马,简称天马 .-' _..`. / .'_.'.' | .' (.)`. ;' ,_ `. .--.__________.' ; `.;-' | ./ / | | / `..'`-._ _____, ..' / | | | |\ \ / /| | | | \ \ / / | | | | \ \ /_/ |_| |_| \_\ |__\ |__\ |__\ |__\ |
 |
26
ostholz 2016-04-15 18:23:09 +08:00
呐泥? 星矢?
|
 |
28
fany 2016-04-15 18:44:39 +08:00
大家好,我是某讯管家负责人,从我的观点来看,这个报告写的还是很不错的,有理有条,各个部分分析的都很到位,至于木马是怎么被放置到网关上的这个问题,我觉得应讠
|
 |
29
shyrock 2016-04-15 19:17:26 +08:00
|
 |
31
jy02201949 2016-04-15 20:07:08 +08:00
 怎么检测中没中 |
 |
33
DesignerSkyline 2016-04-15 22:58:42 +08:00
@shyrock IDA+某个价格相当贵的插件
|
 |
35
dapang1221 2016-04-15 23:19:26 +08:00
这波太 6 了,腾讯为我们演示了手拆木马,接下来就是赵家手拆腾讯了
|
 |
36
RobertYang 2016-04-16 00:11:02 +08:00 via Android
不错 BAT 里面就服 B 了,服 B
|
 |
38
zmj1316 2016-04-16 07:55:16 +08:00 via Android
为什么不可能是配合路由器完成感染和监控?路由器里面劫持要容易的多啊
|
 |
40
Tink 2016-04-16 09:01:08 +08:00 via iPhone
@RobertYang 这不是 T 干的吗
|
 |
41
wizardforcel 2016-04-16 09:21:06 +08:00 via Android
消灭人类暴政,世界属于 AI 。
|
 |
42
c4tn 2016-04-16 09:25:50 +08:00 via iPhone
特侦的马也敢分析,妈的,又得重写了
|
 |
45
Myprincess 2016-04-16 11:07:03 +08:00
方校长不开心
|
 |
46
plqws 2016-04-16 11:09:47 +08:00
只有我一个人觉得可能是腾讯电脑管家的炒作么…
如果是真的话还真的要对腾讯刮目相看了 hhhhh |
 |
47
tinkerer 2016-04-16 11:31:55 +08:00 via Android
(。・ω・。) 赵家人不开心
|
 |
48
blanu 2016-04-16 11:33:04 +08:00 via iPhone
不过是不是只要不通过自带的升级方式升级这些软件就行了呢。。。
|
 |
50
wbsdty331 2016-04-16 12:40:52 +08:00 via Android 2
删除
%windir%\ntshrui.dll %windir%\msls32.dll %windir%\AduioSes.dll %CommonProgramfiles%\TEXTCONV\*elp.dll %windir%\msaodex.dll %CommonProgramfiles%\Microsoft Shared\Web Folders\msaodex.dll C:\WINDOWS\Temp\{E53B9A13-F4C6-4d78-9755-65C029E88F02}\soft.prog 同目录的 time().v drive.d ie.his time().hd RtkBDll.dll QQHelperdll.dll 所有后缀名为.k 的文件 然后修复 lsp ,用 pc hunter 这类 ark 工具修复一下被挂的钩子和注入的 dll 应该就没问题了 我写个专杀工具好了 2333 |
|
51
RobertYang 2016-04-16 12:58:55 +08:00 via Android
@Tink 在于腾讯敢报啊
|
|
52
RobertYang 2016-04-16 12:59:26 +08:00 via Android
@wbsdty331 吃顿好
|
|
53
Tink 2016-04-16 13:08:22 +08:00 via iPhone
@RobertYang 腾讯就是 T 啊
|
 |
54
shakespaces 2016-04-16 13:25:45 +08:00 via Android
win10 没写在系统版本里面,会被影响吗?
|
 |
55
lsmgeb89 2016-04-16 13:30:12 +08:00
默默关注!
|
 |
56
ANT1FLAG 2016-04-16 13:32:43 +08:00
为什么都说和政府有关?没看出来哪里是个人做不到的啊
|
|
58
wbsdty331 2016-04-16 13:48:22 +08:00
@RobertYang t/271538
|
 |
59
Quaintjade 2016-04-16 13:52:37 +08:00
@ANT1FLAG
不一定是政府,但政府可能性较高,也有可能是商业间谍行为。 从技术看,开发成本应该不低。然而既不是为了炫技,也不是直接窃取财产,而是潜伏着监控,说明目标利益来源于监控的数据。 另一方面,但从木马本身来看,制作者如果在互联网上很难获取数据。 有几种获取数据的可能: * 配合其他渠道(比如控制路由),看似发到大网站的数据,其实转发到真正收集数据的服务器。 * 制作者就在链路上,比如内网里,或者运营商节点上。 * 各大网站与制作者有合作,看似应该被丢弃的数据其实会被接收和记录。 * 其他[?] |
 |
60
ovear 2016-04-16 14:26:53 +08:00
http://drops.wooyun.org/tips/14911
评论 PGP 可怕 |
 |
62
dsb2468 2016-04-16 14:36:28 +08:00
|
 |
65
XhstormR 2016-04-16 15:27:06 +08:00 via Android
首先我要证实一下大家的猜测:这个木马确实和 G0V 有关系,属于一款特殊用途的专用木马。
|
 |
66
DcmTeamMember 2016-04-16 18:26:25 +08:00
|
 |
67
jhaohai 2016-04-16 18:33:51 +08:00 via iPhone
这个应该就是公安部的金盾吧,传说耗资比 gfw 大,在各大运营商的骨干网上都有部署
|
 |
69
0xC0000005 2016-04-16 20:10:35 +08:00
这个木马主要特别在两点:
1.涵盖几乎所有主流安防软件的巨大投入; 2.极其特殊的数据通信方式和针对目标 |
|
70
RobertYang 2016-04-17 13:36:13 +08:00 via Android
@Tink 。。。打错了😂
|
|
71
wbsdty331 2016-04-23 17:55:36 +08:00 1
https://github.com/wbsdty331/DCM-Killer
专杀已更新,但只能删除部分文件,被挂的钩子和 DLL 仍需自己解除,聊胜于无吧。 |
 |
72
Aquamarine 2016-05-01 16:46:37 +08:00
@wbsdty331 请问下,挂钩只存在 SPI/LSP 中吧?
|
|
73
wbsdty331 2016-05-04 21:54:33 +08:00 via Android
@Aquamarine 应该还在进程中存在 你需要多留心
|
 |
74
rix 2016-05-15 15:02:36 +08:00
|
Select Language