和 https://www.v2ex.com/t/995527 有点类似,不过这次他下载的是一个 exe 文件,模仿的是诺诺网开发票的邮件,
具体文件链接如下: http://mail.seily.com:81/download/attachment/NVHYtN2bu9Ncpk2N/KFXK2Z-KcsMK/PDF.exe
运行了以后啥都没有,结果发现微信给同事发了个信息,要求立刻转账 10 万到一个国内账户。 还好他同事警惕性高,没转。事后发现应该是电脑微信没关的原因。现在在让他重装系统,备份文件,能删的都删掉。
扔到腾讯哈勃和 virustotal 了,自己不是搞安全的,也分析不出啥来,大家有兴趣可以看看
https://habo.qq.com/file/showdetail?md5=b113ebd478ec745c473bce16fa0b92a8#file
1
miaoxia 2023-12-13 17:15:37 +08:00 via Android 1
怎么把病毒文件发出来了😂
|
2
samvvv 2023-12-13 17:23:24 +08:00
植入后门了吧
|
3
Reply1hostname 2023-12-13 17:31:33 +08:00
我不小心点了......有没有大神知道咋杀毒啊
|
4
flyqie 2023-12-13 17:34:14 +08:00 via Android
建议楼主以后发病毒文件把 http 改为 hxxp ,既能看出来也能避免误点,看好多安全厂商发的通告都是这样做的。
|
5
wangxiaoer2 2023-12-13 17:41:30 +08:00
edge 给我拦了,md 差点就下下来了
|
6
i8086 2023-12-13 17:44:58 +08:00
被 Microsoft Defender SmartScreen 拦截了
|
7
dw2693734d 2023-12-13 17:45:10 +08:00
怎么下载下来是 dmg 的格式,这个病毒还单独对 macOS 做了处理?
|
8
sparklee 2023-12-13 17:47:27 +08:00
下载下来没关系啊, 你不运行就可以了
|
9
i8086 2023-12-13 17:51:02 +08:00
ESET 扫描没结果……
|
10
sparklee 2023-12-13 18:06:15 +08:00
C# .Net winform 代码, 猜测可能是调用 win32 api 给 微信 进程发消息之类实现的吧
|
11
zhaidoudou123 OP @Reply1hostname #3
啊这,实在是不好意思 |
12
zhaidoudou123 OP @flyqie #4
学会了,实在是不好意思😭 |
13
zhaidoudou123 OP |
14
zhaidoudou123 OP @livid 有办法修改病毒文件链接吗?有点脑抽直接发出来了,没想到会有误点的情况😂
|
15
yulihao 2023-12-13 18:15:48 +08:00
他最终会从网站下载个 dll 和 exe 下来,这个 dll 才是最终要执行的
https://www.virustotal.com/gui/file/3ffa653d183013a551d113c8a3a83884067102cbe5b3af3b820ded70310cd32a |
16
SunsetShimmer 2023-12-13 18:27:13 +08:00
被我的卡巴斯基拦截了。
ILSpy 可以反编译这个 exe ,它会下载 hxxp://mail.seily.com:81/download/attachment/NVHYtN2bu9Ncpk2N/KFXK2Z-KcsMK/app_core_legacy.dll hxxp://mail.seily.com:81/download/attachment/NVHYtN2bu9Ncpk2N/KFXK2Z-KcsMK/1.exe 到 C:\\Users\\Public\\Documents 然后尝试管理员运行。 |
17
liyafe1997 2023-12-13 19:29:19 +08:00
ESET 居然查不出毒。。。服了
|
18
liyafe1997 2023-12-13 19:51:08 +08:00
|
19
ArchVile 2023-12-13 19:56:24 +08:00
木马上线 IP 为 139.196.243.129 ,使用 kcp 通信 配置信息 1:139.196.243.129|o1:6666|t1:1|p2:139.196.243.129|o 2:8888|t2:1|p3:127.0.0.1|o3:80|t3:1|dd:1|cl:1|fz:
|