再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”

  • A+
所属分类:lcx

今天有朋友下载了一个软件:

第一微销微信自动加粉丝软件 电脑版.rar (已放入病毒样本压缩包中)

运行后,电脑出现问题(爆卡),随后检查,发现 GoTop 挂机刷钱非法病毒软件一枚,清理之后,留下了安装包样本,随后进行了简单的分析,顺道爆爆刷钱“黑客”菊花……

这里把研究记录发出来……

免责声明:

以下所有资料均是从木马病毒文件中提取出来的原始样本信息,或者是从公共查询系统、公共搜索引擎获取的公开资料不涉及任何私人绝密资料或个人隐私信息!并且不是通过渗透、入侵等任何非法途径取得,所以本文内容完全合法,谢绝任何所谓的法律责任!


解压后:

再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”

执行 Setup.exe 后无任何反应,实际上是静默安装了“gotop”,直接将官方的压缩包和他的配置文件解压到系统目录,然后退出了。

核总吐槽:你妈逼,你好歹也显示个“自动加粉丝软件”的假界面忽悠一下人吧,尼玛直接静默安装GoTop,然后啥都不干,让人感觉这软件没反应,明显感觉像是中了木马,傻子都知道有问题!)

再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”

创建了一大堆文件(具体列表已放入病毒样本压缩包中),这里贴上一个简洁列表:

……
c:WINDOWSbrowser*.*
说明:这是GoTop浏览器(gotopbr.exe)的目录,其实就是封装了一个 Google Chrome (谷歌浏览器),用来访问各种广告的,一大堆文件……
……
c:Documents and SettingsAdministratorApplication Datagotop*.*
说明:这是gotop的数据储存目录。
……
c:Documents and SettingsAdministratorApplication DataHC_logs 创建了
c:Documents and SettingsAdministratorApplication DataHC_logsProg 创建了
c:Documents and SettingsAdministratorApplication DataHC_logsProghc.bat 创建了
c:Documents and SettingsAdministratorApplication DataHC_logsProgwinUp.exe 创建了
c:Documents and SettingsAdministratorApplication DataHC_logsVer 创建了
c:Documents and SettingsAdministratorApplication DataMozilla 创建了
c:Documents and SettingsAdministratorApplication DataMozillaExtensions 创建了
……
c:WINDOWSetc 创建了
c:WINDOWSetcconfig.ini 创建了
c:WINDOWSetcdata.db 创建了
c:WINDOWSetcdata.db-journal 创建了
c:WINDOWSetcGoTop-n.ico 创建了
c:WINDOWSetclang.ini 创建了
c:WINDOWSGoTop.exe 创建了
c:WINDOWSGoTop.exe.manifest 创建了
c:WINDOWSMicrosoft.VC90.CRT.manifest 创建了
c:WINDOWSmsvcp90.dll 创建了
c:WINDOWSmsvcr90.dll 创建了
c:WINDOWSPrefetchGOTOP.EXE-1D89AB12.pf 创建了
c:WINDOWSPrefetchGOTOPBR.EXE-37CD95AB.pf 创建了
c:WINDOWSPrefetchHOOK全盘文件创建的监控.EXE-20FFD5D8.pf 创建了
c:WINDOWSUnInstall.exe 创建了
c:WINDOWSUnInstall.exe.manifest 创建了
c:WINDOWS使用说明.txt 创建了
说明:以上是 GoTop 的完整程序文件及目录。
……

释放完毕后,直接启动 c:WINDOWSGoTop.exe,由于之前已配置过,所以这里已经开始隐藏刷广告(中毒电脑明显感觉卡顿,GoTop垃圾软件优化太差了,之前的文章也骂过一次,这里不多说了)

再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”

这里多说几句,此人的广告刷钱病毒有个小缺陷,可能是由于他封包的时候漏了几个dll文件,导致 gotopbr.exe (目测是gotop的模拟浏览器模块)不停的报错,真你妈蛋疼!

回到正题,释放了一堆文件后,又在注册表不同位置分别创建了两个启动项,以实现 GoTop.exe 开机启动:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
"GoTop"="C:\WINDOWS\GoTop.exe --AutoRun"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"gotop"="C:\WINDOWS\gotop.exe"

再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”

再来看看病毒释放的文件,其中最有价值的莫属 GoTop 配置文件了之前有篇文章中也讲过,详细剖析过这个玩意儿,这里不多讲了,各位可以去看之前的文章了解更多信息。

使用记事本打开:c:WINDOWSetcconfig.ini

得到牧马人(“病毒作者”)账号密码信息:

[AccountDetail]
userId=767455
wd5=8f251253da7d8517652781e786f94aeb
[deploy]
IsAutoLogin=true
IsHideUi=true
speed=High
IsNotHomeUi=true

呵呵,淫荡的核总难道没教过你怎么利用么??

直接登录!哦呵呵~~~

再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”

再去官网看看个人账户:

再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”

收集到一大堆个人信息哟:

账户信息
用 户 名:zxr0925
可用积分:441129
下级加分:347
历史积分:1161129
电子邮箱:[email protected]
支 付 宝:[email protected]
上次登录:2013-03-11 22:51:54
用户ID:767455
今日积分:10122
昨日积分:27085
QQ:1565210556
真实姓名:张开县
注册时间:2013-03-11 22:51:54
代金券余额:0

可用积分折合人民币约:441129/10000*2 = 88.2258 元(2元人民币(¥)/10000积分)

继续深入,看看提现记录:

交易ID 创建时间 币种 数量 单价 价格 收款姓名 收款账号 状态
1020182 2013-05-14 09:08:26 人民币(¥) 48 2 96 张开县 [email protected] 已完成(2013-05-14 11:04:47)
1018413 2013-05-02 15:58:05 人民币(¥) 9.5 2 19 张开县 [email protected] 已完成(2013-05-02 21:02:45)
1017567 2013-04-24 22:53:42 人民币(¥) 3.5 2 7 张开县 [email protected] 已完成(2013-04-25 15:47:27)
1017091 2013-04-19 22:13:43 人民币(¥) 7 2 14 张开县 [email protected] 已完成(2013-04-20 11:59:08)
1015614 2013-04-06 20:38:49 人民币(¥) 1 2 2 张开县 [email protected] 已完成(2013-04-07 12:40:58)
1014793 2013-03-30 10:54:46 人民币(¥) 1 2 2 张开县 [email protected] 已完成(2013-03-30 17:21:17)
1014394 2013-03-26 19:04:38 人民币(¥) 1 2 2 张开县 [email protected] 已完成(2013-03-26 20:17:48)
1013919 2013-03-22 11:00:57 人民币(¥) 1 2 2 张开县 [email protected] 已完成(2013-03-22 20:07:25)

再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”

再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”

看来熊孩子才做没多久嘛,才赚 72 元就栽在核总手里了(不排除有多个账号同时操作,以防止被人爆菊,减少损失),算你倒霉……

居然还有个下级账号(熊孩子抓鸡收徒了?):

共1位下级
用户ID 注册时间 注册IP 上次登录
774169 2013-05-16 23:03:51 119.124.222.230 2013-05-16 23:03:51
IP: 119.124.222.230, 来自: 中国广东省河源市电信

再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”

继续:

再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”

真实姓名:张开县
电子邮箱:[email protected]
安全邮箱:[email protected]
QQ:1565210556
支付宝:[email protected]

24小时内客户端:

再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”

24小时内 客户端(合计: 276)
创建时间▼▲ IP IP指向 遍历次数▼▲ 最后更新▼▲
2013-05-29 11:43:59 220.181.157.226/32 北京市 0 2013-05-29 11:43:59
2013-05-29 11:40:48 123.116.76.142/32 北京市 0 2013-05-29 11:40:48
2013-05-29 11:37:10 221.204.155.195/32 山西省太原市 0 2013-05-29 11:37:10
2013-05-29 11:36:41 218.5.56.3/32 福建省厦门市 0 2013-05-29 11:36:41
2013-05-29 11:35:32 113.97.85.23/32 广东省深圳市 0 2013-05-29 11:35:32
2013-05-29 11:34:26 122.230.85.187/32 浙江省湖州市 0 2013-05-29 11:34:26
2013-05-29 11:33:25 125.66.193.77/32 四川省攀枝花市 0 2013-05-29 11:33:25
2013-05-29 11:31:48 222.92.134.98/32 江苏省苏州市 0 2013-05-29 11:31:48
2013-05-29 11:11:21 123.116.68.129/32 北京市 0 2013-05-29 11:11:21
2013-05-29 11:11:15 111.227.10.100/32 河北省唐山市 0 2013-05-29 11:11:15
2013-05-29 11:10:01 59.58.72.194/32 福建省宁德市 25 2013-05-29 11:32:37
2013-05-29 11:07:40 114.83.22.119/32 上海市青浦区 48 2013-05-29 11:46:52
2013-05-29 10:59:40 27.159.106.22/32 福建省莆田市 0 2013-05-29 10:59:40
2013-05-29 10:58:36 113.12.51.130/32 广西南宁市 0 2013-05-29 10:58:36
2013-05-29 10:53:17 113.135.124.179/32 陕西省西安市 0 2013-05-29 10:53:17
2013-05-29 10:47:37 112.11.28.40/32 浙江省嘉兴市 49 2013-05-29 11:35:14
2013-05-29 10:44:40 120.14.123.231/32 河北省邢台市 250 2013-05-29 11:41:41
2013-05-29 10:43:56 111.16.34.93/32 山东省 0 2013-05-29 10:43:56
2013-05-29 10:43:47 180.223.59.160/32 辽宁省沈阳市 25 2013-05-29 11:30:52
2013-05-29 10:39:53 222.44.138.2/32 上海市 48 2013-05-29 11:31:55
2013-05-29 10:39:13 27.45.252.159/32 广东省佛山市 0 2013-05-29 10:39:13
2013-05-29 10:31:53 114.243.49.45/32 北京市朝阳区 0 2013-05-29 10:31:53
2013-05-29 10:28:52 112.13.232.95/32 浙江省宁波市 0 2013-05-29 10:28:52
2013-05-29 10:23:38 183.141.43.192/32 浙江省嘉兴市 0 2013-05-29 10:23:38
2013-05-29 10:22:58 218.16.63.107/32 广东省东莞市 0 2013-05-29 10:22:58

写在最后:

再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”

再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”

再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”

简单的百度谷歌了一下QQ(看来熊孩子常年做网赚嘛),信息极多,社工库什么的就不讲了,户口本已到手,报不报警神马的、完全取决于某人心情……

最后,讲一下此病毒的清理方法,很简单:

1、结束掉所有GoTop进程,例如:GoTop.exe, GoTopbr.exe

2、删掉所有相关文件,也就是上边那个文件列表。

3、删掉上边所说的那两个启动项。

最后重启,完事!

相关下载:

病毒样本压缩包.rar (解压密码:lcx.cc

提示:如非专业人士,请勿执行压缩包内任何病毒文件,否则后果自负!

相关内容:

上海伊莱美医院被黑、黑帽SEO做淘宝客,核总深入追查,揪出内鬼!

支付宝木马爆菊过程总结帖【附源码】

接上一章节,支付宝木马,后续情节【2】

接上一章节,支付宝木马,后续情节

360对你真的起作用了吗?bypass....分析支付宝网银木马,反爆菊花

揭秘诈骗千万人民币的团伙及具体位置分析

核总霸气分析“天津丽人女子医院”主站被黑、挂淘宝客、黑帽SEO全过程!

接着核总的《打击钓鱼,人人有责》之后的故事...

打击钓鱼,人人有责……

【跟风贴】XSS挖出一个黑产团体

XSS挖出一个黑产团体

追查黑客姓名,邮箱,支付宝信息,惊现大规模僵尸网络,要求警方介入处理!

服务器被入侵之后,反爆1433抓鸡黑客菊花,并公布大量黑阔账号密码

耍了一个发给我网购木马的骗子~~

东京大学加密招生海报解密过程(内含妹子)

简单分析一个通过 js 劫持进行黑帽 SEO 做淘宝客的案例

某人肉搜索的典型案例分析 一群推理神牛

留言评论(旧系统):

咖啡 @ 2013-05-29 18:35:32

上次看了核总的:追查黑客姓名,邮箱,支付宝信息,惊现大规模僵尸网络,要求警方介入处理!
发现GOTOP的后台留言能X,自动刷新的。。提的最多的也就上百快,貌似不zhuanqian。

本站回复:

是啊,看了很多账户,佣金都少得可怜。装机量这么大,随便换成其他啥都比这赚得多的多,这个东西封装起来也非常麻烦,而且一旦被人抓到,100%反爆菊花,不知道为啥现在这么流行这个烂玩意儿,可能是网赚者盲目的跟风吧……

蚂蚁窝 @ 2013-05-29 19:32:09

已转载,且注明来源。
blog:www.mayiblog.net

本站回复:

Good JB!

周润发 @ 2013-05-29 20:07:58

这孩子也就弄了几十块 你就爆他菊花,得饶人处且饶人啊,有可能还是上初中的小孩呢。。。

本站回复:

没爆菊,只是公布木马样本中的一些信息……

leadurlife @ 2013-05-29 20:16:05

核总,这是个混饭吃的小孩子,得饶人处且饶人啊

本站回复:

只是公布木马样本中的一些信息……

hitom @ 2013-05-29 20:17:40

好霸气,不过没有上次爆那治疗性病网站,来的震撼。

本站回复:

lol~~~

菊花 @ 2013-05-30 09:37:09

学点皮毛就到处招摇

本站回复:

懒得回……(先看懂本站30%的内容再来说这句话吧,如果你看得懂的话……)

youzhi @ 2013-05-30 10:29:44

倒霉孩子.....

本站回复:

orz...

佚名 @ 2013-05-30 11:21:21

可怜的孩子 看来是初学者 以后要小心啊

本站回复:

orz...

Troy @ 2013-05-30 16:00:06

核总把搞黑产的孩子都吓尿了~~

本站回复:

orz...

日月 @ 2013-05-31 11:05:01

核总 把你的“hook全盘文件创建监控”在群里共享一个撒

本站回复:

噢,这个最早是下载的,不记得在哪下载了。很简单的东西,Hook 几个 Api,你也可以自己写一个。

佚名 @ 2013-05-31 17:02:54

不知道该如何吐槽

本站回复:

那就不吐了呗……

123321qq @ 2013-06-04 09:16:40

那个配置文件里面的wd5是什么?MD5?也没能解密啊,你怎么登陆的~~

本站回复:

自己去研究一下软件登陆过程。

wormfox @ 2013-06-05 10:37:49

应该是把配置文件的MD5和ID改成这个倒霉孩子的就行了,不用解密!我猜的,路过。。。囧orz~

本站回复:

恭喜你,答对了。

佚名 @ 2013-06-14 02:32:56

请在这里填写留言内容,最长不超过 1000 字。

本站回复:

[暂无回复]

佚名 @ 2013-06-14 02:54:39

额也碰到了一个。。
账户信息
用 户 名:zxr0902
用户ID:768798
姓名: 贺小强
邮箱: [email protected]
安全邮箱: [email protected]
qq: 1027536921
支付宝: 13883560552

本站回复:

╮(╯_╰)╭

沧浪淼客 @ 2013-06-18 12:56:02

我的倒是没有被添加etc那个文件夹,注册表只被修改了第一个,免费为他挂了2天才因为cpu占用高发现。。。。不知道他的账号密码封包在哪里~~哎,要不我也可以给他来个无情大爆菊了。。。

本站回复:

很简单,找出进程文件位置,然后你就找到配置文件了……

XiaoEr @ 2013-07-07 18:33:12

你好,,,我在某处下别的软件时发现了一个叫 wifi破解 的软件,下下来安装发现没反应,,,但是经过一番探索,在c:program fileswindows nt下发现了这个东西,查看config.ini能看到id和密码,但是无法登录,需要用户名,,,请问怎么才能登录查看他的个人信息,嗯,我承认我的确很想报复这种人,谢谢……

本站回复:

先在官网下载一个原版,然后把配置文件复制过来,不过,一定要记得把配置信息中的 IsHideUi=true 项删掉(或者改成:IsHideUi=false),该参数是登陆后用来隐藏界面的,最后运行主程序,会直接自动登陆!
然后点击界面中的“网址管理”,可以直接进入网页管理中心(已登录状态),然后你懂的…… ╮(╯_╰)╭

XiaoEr @ 2013-07-08 09:49:36

http://www.gotop.org/manage.php?language=0&act=cgilogin&userid=768322&passwd=5c96e5be3c303025b3eb3a7842f643e1
这是用您所说的方法之后ie浏览器所打开的网址那个网址,,,
可是页面依然是要求用户名密码登录的啊 (原谅我太笨了,呜呜……)
怎么发截图啊~~

本站回复:

不清楚……

XiaoEr @ 2013-07-08 10:27:06

[AccountDetail]
userId=768322
wd5=5c96e5be3c303025b3eb3a7842f643e1
[deploy]
IsAutoLogin=true
IsHideUi=false
IsNotHomeUi=false(这里已改)
speed=High
这是配置文件的内容……

本站回复:

配置文件正确,如果密码正确的话,你是可以成功登陆的。

佚名 @ 2013-07-15 09:49:00

我靠 太解恨了,支持你 刚才发现gotop在不停的报错,才发现有这么一个软件在。果断结束进程删了,然后百度到你这里,看了解恨

本站回复:

鄙人非常荣幸能帮到您,Gotop 这软件确实是个垃圾!!!

你就是个sb @ 2013-07-16 19:50:23

看你他妈就是个傻x,还追踪牧马人。呵呵,来追踪哥吧,挑个jj蛋疼没意思的人在哪一通乱搞,你他妈就有个蛋意思!

本站回复:

围观脑残熊孩子……

sss @ 2013-07-19 01:32:35

http://www.gotop.org/manage.php?language=0&act=cgilogin&userid=777190&passwd=f237b5a1698abec31479ecff65645801
但是进入以后还是需要填写用户名
[AccountDetail]
userId=777190
wd5=f237b5a1698abec31479ecff65645801
[deploy]
IsAutoLogin=true
IsHideUi=false
IsNotHomeUi=false
speed=High

本站回复:

不是密码错误,就是 gotop 官网修复了该“漏洞”……

sss @ 2013-07-19 01:33:40

http://www.gotop.org/manage.php?language=0&act=cgilogin&userid=777190&passwd=f237b5a1698abec31479ecff65645801
但是进入以后还是需要填写用户名
[AccountDetail]
userId=777190
wd5=f237b5a1698abec31479ecff65645801
[deploy]
IsAutoLogin=true
IsHideUi=false
IsNotHomeUi=false
speed=High

本站回复:

不是密码错误,就是 gotop 官网修复了该“漏洞”……

佚名 @ 2013-07-19 16:59:07

我也遇到一个,能饶过官网登陆上去不? 或者说把密码破出来

本站回复:

密码加密与官网登陆方式具体还没研究过,不太清楚。

佚名 @ 2013-07-19 19:51:03

http://iask.sina.com.cn/u/1656791525/ish
这个人在新浪共享分享的电子书全是这个gotop,站长快去收了他吧

本站回复:

无语了……

佚名 @ 2013-07-28 13:52:13

我也遇到了一个类似的软件,不过config.ini全部都好像是加密的,config.ini的全部内容如下:1OdGrhftZnRmCTlCNDK4ZYYi8UWVP0EnbAdYq0WAjIWDI7bRqK65wxutVp3DOhqKnR1AfY1sDtXgQBaBjAiQve7wwpKeQLq53bTcH5gbQul8CD5fLbe7cHlPpOEIioSYDwrxiWOFNBuIQRLM7Xlxa3YD8itx7kihqrrLjAIPNBxhZR 不知它是如何进行加密的?

本站回复:

Base64编码的数据,具体加密算法不清楚。

佚名 @ 2013-07-28 14:31:21

谢谢帮助,我总算把病毒删了

本站回复:

You Are Welcome!

佚名 @ 2013-07-28 14:33:02

谢了

本站回复:

You Are Welcome!

春哥 @ 2013-07-29 21:52:30

核总,工具分享下额。。

本站回复:

本文中貌似没有用到什么特殊工具啊,你指的是哪个?

佚名 @ 2013-07-30 10:34:29

为什么不做静卧下载推广软件的,那个还多钱,那么多中了现在估计最少都500块了吧,是不是不会写马呢?

本站回复:

是啊,真是二啊,装这玩意儿有毛用。

佚名 @ 2013-08-02 09:36:50

阴沟翻船啊,那天脑子没转过来竟然下了个setup.exe还点开了。。。。。。。。
但是我电脑里面路径跟你写的不一样耶。。。。。
小白求教,怎么删干净??

本站回复:

参考文中的手工查杀方法。

佚名 @ 2013-08-03 20:49:20

我的电脑也被种了 安装不明软件搞的 呵呵 天天跳阿里旺旺我起初还以为是软件有问题

本站回复:

纳尼?跳阿里旺旺??

佚名 @ 2013-08-11 23:37:34

今天也中招了,赶紧弄掉,貌似现在软件登陆后点管理网址不能进管理中心了么
求爆菊方法

本站回复:

不清楚,新版的暂没有研究过。

问一下啊 @ 2013-08-23 17:47:11

我也中了,靠,现在只知道他的支付宝账户,(居然没填手机号码,好遗憾)怎么爆菊,求详解,如不便透露,麻烦发下到邮箱,谢谢啊:859、895/022 @ qq.com

本站回复:

文中已讲过。

佚名 @ 2013-09-19 12:15:29

中了之后系统还原回3天前 是不是就没事了

本站回复:

要看你是何时中毒的,如果已超过三天,那会无效。

佚名 @ 2013-10-08 10:50:50

用记事本打开config.ini得到
[AccountDetail]
userId=777764
wd5=3dc2066b92ee4467a91edefdb5b468b2
[deploy]
IsAutoLogin=true
IsHideUi=false
speed=High
IsNotHomeUi=true
请问如何登录?

本站回复:

新版还没研究,不清楚,旧版的登录方法是:
先在官网下载一个原版,然后把配置文件复制过来,不过,一定要记得把配置信息中的 IsHideUi=true 项删掉(或者改成:IsHideUi=false),该参数是登陆后用来隐藏界面的,最后运行主程序,会直接自动登陆!
然后点击界面中的“网址管理”,可以直接进入网页管理中心(已登录状态),然后你懂的…… ╮(╯_╰)╭

佚名 @ 2013-10-08 14:51:31

核总,那个 Hook全盘文件创建监控 在哪可以下载,我百度一下很少啊。。。

本站回复:

逆向爆菊、反向追踪之:追查史上最奇葩的“挂马”黑客!:http://lcx.cc/?i=3772
文章末尾有下载地址……

佚名 @ 2013-10-08 15:05:12

在你的另一篇文章中找到了 Hook全盘文件创建监控 哈哈

本站回复:

嗯嗯

lalaluo @ 2013-10-12 23:26:29

文章写得很欢乐,喜欢你的笔锋,哈哈哈

本站回复:

多谢赞赏!

佚名 @ 2013-11-09 20:53:49

核总 今天被GOTOP的狗暴菊了
↓【站长警告:该链接可能含有木马病毒,非专业人士请勿访问下载,否则后果自负!】↓
http://pan.baidu.com/share/link?shareid=712457521&uk=3122691499
↑【站长警告:该链接可能含有木马病毒,非专业人士请勿访问下载,否则后果自负!】↑
在这里爆一下
有兴趣当拿零花钱吧

本站回复:

╮(╯_╰)╭
【站长警告:上述链接可能含有木马病毒,非专业人士请勿访问下载,否则后果自负!】

很闹心 @ 2013-12-01 01:02:27

小白膜拜大神。
被装了GOTOP,按您说的查到了文件,但是一登录就显示用户名不存在,我该怎么办呢,是不是没辙了啊啊啊啊!好憋气!文件如下,求站长及好心人帮忙爆菊,文件如下
[AccountDetail]
userId=791474
wd5=d9de89dfd0a075a9970b55161fd68d51
[deploy]
IsAutoLogin=true
IsHideUi=false
speed=High
IsNotHomeUi=true

本站回复:

自从Gotop频繁被人使用我的方法爆菊后,官网便封了这种登录方式,新版的暂未研究。

佚名 @ 2013-12-13 11:47:54

不幸遭遇新版,貌似爆不了菊。难过。

本站回复:

木事,新版说不定有其他方法……

gotop=sb @ 2013-12-20 22:13:01

[AccountDetail]
userId=777176
wd5=e83ea16df4825a3c20d68787a0024708
[deploy]
IsAutoLogin=true
IsHideUi=false
speed=High
IsNotHomeUi=true
求高手爆到他喷射。

本站回复:

。。。。。。

佚名 @ 2013-12-29 15:29:54

曝光另外一个账号 求高手把他干掉
[AccountDetail]
userId=617561
wd5=7886fe6bb610252910591ecab5fe42b7
[deploy]
IsAutoLogin=true
IsHideUi=false
IsNotHomeUi=false
speed=Slow

本站回复:

╮(╯_╰)╭

佚名 @ 2014-03-14 01:33:02

不会登录,大神帮忙惩戒一下呗
[AccountDetail]
userId=797956
wd5=e8b248bec408d8f3665b39ba627eef68
[deploy]
IsAutoLogin=true
IsHideUi=false
speed=High
IsNotHomeUi=true

本站回复:

你好,新版官方已经封禁了此种登录方式。

佚名 @ 2014-04-04 11:27:04

userId=806958

本站回复:

so?

佚名 @ 2014-07-20 18:03:38

核总,现在的Gotop有别的爆菊思路吗

本站回复:

新版本的目前还没有研究。

佚名 @ 2014-11-09 01:05:33

哈哈 ,好可爱的站主,而且发现评论都回复,我也试试

本站回复:

what? -_-|||

佚名 @ 2014-11-24 23:49:18

问一下,现在本机condfig里他存的id可以直接在那个网站上登陆吗?我在网站上输入后,提示说不存在此用户,怀疑网站id与客户端不一致。

本站回复:

自从文章公开发布的一两个月后,就不行了,官方修补了。

文章来源于lcx.cc:再次遭遇 GoTop 挂机刷钱“病毒”,逆向爆菊,追踪背后“牧马人”

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: