今天突然想聊聊那个"淫魔诱惑"网站的破解实验,完全是因为上周在技术论坛刷到了讨论,说这网站邪乎得很。本来以为又是标题党,结果自己挖下去还真挖出一堆料。
起底源头
凌晨四点蹲在电脑前,先开了虚拟机搭好沙盒环境。特地找了台十年机龄的备用笔记本,就怕真中毒直接物理报废。打开浏览器刚输网址就跳高危警告,这年头能让三大浏览器同时红牌的网站真不多见。
- 先挂上冷门梯子切南非节点
- 再开着Wireshark抓包监测
- 手动禁用浏览器XSS防护
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
页面加载出来的瞬间,风扇直接起飞。满屏的闪烁弹窗跟九十年代盗版碟似的,关弹窗的速度根本赶不上它弹出的速度。
深坑实测
点任何按钮都跳转到同个下载页,明晃晃写着"官方客户端"。我脑子一热点了下载,35M的安装包秒速完成。安装时360突然诈尸弹窗,拦截记录刷得眼花:
- 后台静默安装7个浏览器插件
- 修改注册表启动项21处
- 在System32里塞了三个伪装成dll的挖矿程序
幸亏提前用Process Monitor挂载监测,眼睁睁看着这货把虚拟机的CPU占满。挖的还是门罗币,算力被薅得干干净净。
自救指南
赶紧断开虚拟机网络,用火绒深度扫描抓出27个风险项。最毒的是那个叫"魔窗助手"的插件,浏览器每次启动都自动注入广告脚本。修复完重启测试:
- 主页劫持还在,用注册表修复工具才清掉
- 残留的dll用Everything搜出来手动粉碎
- 重置了三次浏览器配置才正常
最绝的是后来查证书,发现这"官网"的SSL竟然是自签名,注册人地址写的竟然是澳门某奶茶店!
总结下来这就是个套着色情外衣的病毒养殖场。建议大家看到类似网站直接举报三连,手贱点开起码得像我这样用沙盒隔离,不然等着你的可能就是矿机终生劳动合同了。
