在这篇博客文章中,我们将仔细研究最主要的家族代码betway 体育是哪国的屏幕储物柜目前用来挫败他们的受害者。它被称为VinCE,因为它自己创建的Program文件夹,是用Microsoft中间语言(MSIL),使它更容易为我们这些不太精通逆向工程的人阅读。

背景

这个屏幕锁的设计是为了让受害者绝望到拨打显示的号码并寻求帮助。在这一点上,他们被期望为最小的努力支付一大笔钱。运行主可执行文件(SBSCP.exe)在任何Windows系统上都会出现如下所示的蓝屏。程序员的目标是挫败人们摆脱屏幕的努力,同时为技术支持骗子提供一个轻松摆脱屏幕的选项。

main2

不要以为蓝屏是为Windows版本量身定制的。上述假蓝屏显示在任何当前的Windows系统,无论版本。事实上,上面的截图是在Windows 7电脑上拍摄的。

的代码

让我们看一些代码片段。首先,那些产生蓝屏内容的:

百分比

当你第一次面对蓝屏时,你会忍不住想知道当完成率达到100%时会发生什么。但是看看控制它的代码,完全完成从来没有发生过。因为它就是一个计数器。

Random = new Random();
this.intTotalCount =随机的。下(25、50);
this.intCount = 0;
this.growLabel1。你的电脑出了问题,需要重新启动。我们只是收集一些错误信息,然后我们会为你重新启动。”
this.growLabel2。Text = this.intCount.ToString() + "% complete";
this.timer1。间隔= 500;
this.timer1。启用= true;

从上面我们可以了解到的最重要的事情是,屏幕储物柜中显示的完成率值停留在25到50之间,这很可能会促使用户拨打电话号码。

textphone

显示的其余文本,包括电话号码,放在以下代码行中:

文本=“1-888-523-2979”;
字符串str = "AAAAA";
this.growLabel3。Text = "有关此问题和可能的修复的更多信息";
this.growLabel4。Text = "Call TOLL FREE \"" + Text + "\"给他们这个信息";
this.growLabel5。Text = "停止代码:CRITICAL_PROCESS_DIED";
this.growLabel6。Text = "错误码:0x000" + str;
这一点。blnFormUpdate = this.updateinstalls(文本);

现在,一个更有趣的部分是,他们如何让用户不关闭屏幕锁定表单和关闭计算机,而这些表单是活跃的。

cantclose

实际上,这(可能)非常简单。在下面的代码中,Form1是锁屏,这个位是-

private void Form1_FormClosing(对象发送者,FormClosingEventArgs e)

如果(! this.blnClose)

e.Cancel = true;



-翻译为:取消任何试图关闭此表单的事件,除非this.blnClose是真的。看到这些,我开始寻找,因为很明显,我想知道这句话什么时候是正确的。我在如下代码中发现:

选项

取出任务的相关部分,我们就得到了下面的代码。它告诉我们如果我们使用F6键,那么this.blnClose变成true,然后关闭程序。任务完成

private void Form1_KeyDown(对象发送者,keyyeventargs e)

if (e.c ocode . tostring ().ToLower() == "f6")

this.blnClose= true;
base.Close ();



但我还想指出一件事。正如您可以从下面的代码中看到的,该程序准备一个肥皂消息将用户ID和显示的电话号码传递给服务器,而服务器恰好托管一个名为程控优化器

soaprequest
String url = "http://spcoptimizer.com/servicenew/updateinstall.asmx";
string action = "http://tempuri.org/UpdateBRN";
strPhoneNumber + =“_DOSB_8”;
XmlDocument soapenvelexml = Form1。CreateSoapEnvelope (strId strPhoneNumber);
HttpWebRequest = Form1。CreateWebRequest (url,行动);
Form1。InsertSoapEnvelopeIntoWebRequest (soapEnvelopeXml httpWebRequest);

总结

为了演示技术支持诈骗者是如何操作的,并试图引诱受害者拨打他们的号码,我们向您展示了一些代码片段。

我们特别强调了相关的代码片段,以展示技术支持骗子为摆脱锁屏而创建的简单解决方案,以及谁可能是恶意软件的幕后主使。

文件详细信息

SBSCP.exe - SHA256 1e4fd5500eaf819e8b8e949634a38fccc8159668b205165a565e2530b2870cfc

一个完整的这个技术支持骗局的清除指南可以在我们的论坛上找到。

必威平台APPMalwarebytes检测到可执行文件为Trojan.TechSupportScam。

保护

注意,至少有一个稍微不同的变体,显示另一个电话号码(见这篇文章的标题)。

Web保护模块包含在Malwarebytes的高级版本必威平台APP屏蔽联系域名,如下图所示:

阻塞

和往常一样:为自己省去麻烦,得到保护。

Pieter Arntz