这是一个创建于 3468 天前的主题,其中的信息可能已经有所发展或是发生改变。
http://www.freebuf.co/articles/system/101447.html
看完背后发凉 妈的这就是中国的棱镜门啊
 | 1 21grams 2016-04-15 11:17:30 +08:00 企鹅药丸 |
 | 2 yksoft1 2016-04-15 13:33:23 +08:00 这个木马其他地方都很正常,问题就在于这个通信方式需要在用户可控范围之外做手脚才能实现。 |
 | 3 xmoiduts 2016-04-15 13:51:53 +08:00 via Android 所以说 120.52.72.0/15 等设备是一盘大棋呀 |
 | 4 Mutoo 2016-04-15 13:53:32 +08:00 针对特定人群的 GOV 马 |
 | 5 Jankst 2016-04-15 13:56:52 +08:00 这这这。。。太可怕了 。。这玩意儿难不成真是 GOV 搞的?只是我大企鹅怎么有勇气给拦截了,然后还给出这样一个详细的分析报告? |
 | 6 c0878 OP 可推断墙不止是在出口有部署 全国城域网内应该也有相关设备收集数据 |
 | 7 xdeng 2016-04-15 14:25:20 +08:00 不止 gov 劫持到关键节点的黑客也可以这么玩吧 |
 | 8 panlilu 2016-04-15 14:50:10 +08:00 大写的服气 |
 | 10 lhbc 2016-04-15 15:16:24 +08:00 下一版 QQ 电脑管家更新日志:修复能查杀 DCM 木马的 bug |
 | 12 venster 2016-04-15 16:01:48 +08:00 我觉的这个似乎是有针对性的对某个跨国公司采取的商业行为吧? |
 | 13 oldcai PRO  1 我刚还想,以后得找个冷门点的杀软了,结果一看列表, 43 个,只有想不到的,没有过不掉的。 感觉这才是国家级的项目的水平,什么 12306 简直不算。 感觉又有希望了,祖国欣欣向荣。 |
 | 14 inoricho 2016-04-15 16:07:29 +08:00 头一次对企鹅这么服过。 |
 | 15 mc468ma 2016-04-15 16:09:05 +08:00 vi Android 有人评论,电脑管家不懂事π_π |
 | 16 Phariel 2016-04-15 16:10:48 +08:00 via iPhone PR 懵逼了 鹅厂药丸 doge |
 | 17 KenGe 2016-04-15 16:22:02 +08:00 马化腾这搞过头了啊 |
 | 18 VmuTargh 2016-04-15 16:23:20 +08:00 用 F-PROT |
 | 19 fengxiang 2016-04-15 16:25:51 +08:00 via Android 这一定是美帝的阴毛。('·ω·') |
 | 20 gimp 2016-04-15 16:36:02 +08:00 服! |
 | 21 vtea 2016-04-15 16:40:49 +08:00 via iPhone 我想知道怎么才能检查自己中没中招 |
 | 22 kkhaike 2016-04-15 16:45:31 +08:00 哪里有样本。。学习下 |
 | 23 percentsfg 2016-04-15 16:46:41 +08:00 这防不胜防啊,另外这木马功能怎么这么奇怪。 |
 | 24 momou 2016-04-15 17:09:08 +08:00 谍战大片啊。。。 |
 | 25 shutongxinq 2016-04-15 17:25:05 +08:00 卧槽这个也太强了。针对 Gmail 和向 baidu , 163 通过发 dns 包通讯...只能说是天朝 马,简称天马 .-' _..`. / .'_.'.' | .' (.)`. ;' ,_ `. .--.__________.' ; `.;-' | ./ / | | / `..'`-._ _____, ..' / | | | |\ \ / /| | | | \ \ / / | | | | \ \ /_/ |_| |_| \_\ |__\ |__\ |__\ |__\ |
 | 26 ostholz 2016-04-15 18:23:09 +08:00 呐泥? 星矢? |
 | 28 fany 2016-04-15 18:44:39 +08:00 大家好,我是某讯管家负责人,从我的观点来看,这个报告写的还是很不错的,有理有条,各个部分分析的都很到位,至于木马是怎么被放置到网关上的这个问题,我觉得应讠 |
 | 29 shyrock 2016-04-15 19:17:26 +08:00 |
 | 31 jy02201949 2016-04-15 20:07:08 +08:00  怎么检测中没中 |
 | 33 DesignerSkyline 2016-04-15 22:58:42 +08:00 @shyrock IDA+某个价格相当贵的插件 |
 | 35 dapang1221 2016-04-15 23:19:26 +08:00 这波太 6 了,腾讯为我们演示了手拆木马,接下来就是赵家手拆腾讯了 |
 | 36 RobertYang 2016-04-16 00:11:02 +08:00 via Android 不错 BAT 里面就服 B 了,服 B |
 | 38 zmj1316 2016-04-16 07:55:16 +08:00 via Android 为什么不可能是配合路由器完成感染和监控?路由器里面劫持要容易的多啊 |
 | 40 Tink PRO @RobertYang 这不是 T 干的吗 |
 | 41 wizardforcel 2016-04-16 09:21:06 +08:00 via Android 消灭人类暴政,世界属于 AI 。 |
 | 42 c4tn 2016-04-16 09:25:50 +08:00 via iPhone 特侦的马也敢分析,妈的,又得重写了 |
 | 45 Myprincess 2016-04-16 11:07:03 +08:00 方校长不开心 |
 | 46 plqws 2016-04-16 11:09:47 +08:00 只有我一个人觉得可能是腾讯电脑管家的炒作么… 如果是真的话还真的要对腾讯刮目相看了 hhhhh |
 | 47 tinkerer 2016-04-16 11:31:55 +08:00 via Android (ω) 赵家人不开心 |
 | 48 blanu 2016-04-16 11:33:04 +08:00 via iPhone 不过是不是只要不通过自带的升级方式升级这些软件就行了呢。。。 |
 | 50 wbsdty331 2016-04-16 12:40:52 +08:00 via Android 2 删除 %windir%\ntshrui.dll %windir%\msls32.dll %windir%\AduioSes.dll %CommonProgramfiles%\TEXTCONV\*elp.dll %windir%\msaodex.dll %CommonProgramfiles%\Microsoft Shared\Web Folders\msaodex.dll C:\WINDOWS\Temp\{E53B9A13-F4C6-4d78-9755-65C029E88F02}\soft.prog 同目录的 time().v drive.d ie.his time().hd RtkBDll.dll QQHelperdll.dll 所有后缀名为.k 的文件 然后修复 lsp ,用 pc hunter 这类 ark 工具修复一下被挂的钩子和注入的 dll 应该就没问题了 我写个专杀工具好了 2333 |
| 51 RobertYang 2016-04-16 12:58:55 +08:00 via Android @Tink 在于腾讯敢报啊 |
| 52 RobertYang 2016-04-16 12:59:26 +08:00 via Android @wbsdty331 吃顿好 |
| 53 Tink PRO @RobertYang 腾讯就是 T 啊 |
 | 54 shakespaces 2016-04-16 13:25:45 +08:00 via Android win10 没写在系统版本里面,会被影响吗? |
 | 55 lsmgeb89 2016-04-16 13:30:12 +08:00 默默关注! |
 | 56 ANT1FLAG 2016-04-16 13:32:43 +08:00 为什么都说和政府有关?没看出来哪里是个人做不到的啊 |
| 58 wbsdty331 2016-04-16 13:48:22 +08:00 @RobertYang t/271538 |
 | 59 Quaintjade 2016-04-16 13:52:37 +08:00 @ANT1FLAG 不一定是政府,但政府可能性较高,也有可能是商业间谍行为。 从技术看,开发成本应该不低。然而既不是为了炫技,也不是直接窃取财产,而是潜伏着监控,说明目标利益来源于监控的数据。 另一方面,但从木马本身来看,制作者如果在互联网上很难获取数据。 有几种获取数据的可能: * 配合其他渠道(比如控制路由),看似发到大网站的数据,其实转发到真正收集数据的服务器。 * 制作者就在链路上,比如内网里,或者运营商节点上。 * 各大网站与制作者有合作,看似应该被丢弃的数据其实会被接收和记录。 * 其他[?] |
 | 60 ovear 2016-04-16 14:26:53 +08:00 http://drops.wooyun.org/tips/14911 评论 PGP 可怕 |
 | 62 dsb2468 2016-04-16 14:36:28 +08:00 |
 | 65 XhstormR 2016-04-16 15:27:06 +08:00 via Android 首先我要证实一下大家的猜测:这个木马确实和 G0V 有关系,属于一款特殊用途的专用木马。 |
 | 66 DcmTeamMember 2016-04-16 18:26:25 +08:00 |
 | 67 jhaohai 2016-04-16 18:33:51 +08:00 via iPhone 这个应该就是公安部的金盾吧,传说耗资比 gfw 大,在各大运营商的骨干网上都有部署 |
 | 69 0xC0000005 2016-04-16 20:10:35 +08:00 这个木马主要特别在两点: 1.涵盖几乎所有主流安防软件的巨大投入; 2.极其特殊的数据通信方式和针对目标 |
| 70 RobertYang 2016-04-17 13:36:13 +08:00 via Android @Tink 。。。打错了 |
| 71 wbsdty331 2016-04-23 17:55:36 +08:00 1 https://github.com/wbsdty331/DCM-Killer 专杀已更新,但只能删除部分文件,被挂的钩子和 DLL 仍需自己解除,聊胜于无吧。 |
 | 72 Aquamarine 2016-05-01 16:46:37 +08:00 @wbsdty331 请问下,挂钩只存在 SPI/LSP 中吧? |
| 73 wbsdty331 2016-05-04 21:54:33 +08:00 via Android @Aquamarine 应该还在进程中存在 你需要多留心 |
 | 74 rix 2016-05-15 15:02:36 +08:00 |
Select Language