|
盗号----您需要用号码*******运行QQ才能继续
游戏菜单登陆QQ后,随机弹出如下界面
点击立即运行后,弹出QQ登陆窗口
如果这时候输入QQ密码,恭喜你,你的QQ被盗了。。。
排查过程:
开机运行processmonitor后,登陆QQ等待“您需要用号码*******运行QQ才能继续”窗口弹出
“您需要用号码*******运行QQ才能继续”窗口,为正常的timwp.exe,来自于腾讯qq软件。用于一键切换tm。临时对话kip支持。
用processmonitor查看:
有两个可疑的,一个svchost.exe,一个BidyT76.exe
一 先查找svchost.exe:
此svchost.exe为伪装进程,父进程是4428,查找父进程4428
4428父进程为5196,查找父进程5196,BidyT76.exe 父进程为6096
进程6096父进程为2168
2168父进程为PubwinClient.exe
二 查找BidyT76.exe:
最后BidyT76.exe和伪装的svchost.exe都指向PubwinClient.exe,正常的收费应该是不会做盗号的事情,
通过咨询网吧技术,发现网吧使用了Pubwin去广告程序
解决办法:
1,通过特征码拦截,把BidyT76.exe和伪装的svchost.exe拦截2,取消pubwin的去广告插件。
|
