V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
novobo
V2EX  ›  程序员

下载被运营商劫持,哪位大神能帮忙看看这个程序都做了什么恶

  •  
  •   novobo · 2018-08-01 16:30:17 +08:00 · 4552 次点击
    这是一个创建于 2308 天前的主题,其中的信息可能已经有所发展或是发生改变。

    劫持后地址为 http://124.117.238.230:8000/?id=117352/?tid=1904/?rd=www.51xuele.cn/51soft/51xuele-fxzx3.7.rar

    原下载地址是 http://www.51xuele.cn/51soft/51xuele-fxzx3.7.rar

    下载回来后发现压缩包损坏又试了几次,正确的压缩包大小为 700 多 k,劫持的为 1.4MB ,也不知道软件是什么,大家能帮忙看看么?

    我试着把 rar 后缀改为 exe 后可以运行,程序会在临时目录,释放“ 51xuele-fxzx3.7_s.exe ”和原本压缩包。“ 51xuele-fxzx3.7_s.exe ”运行后自删除,通过 process monitor 大概看了下它在本人电脑临时目录释放一个“ 38409750.bat ”的文件。对注册表系统目录都有操作,本人水平有限其余的也看不出来了,请大神帮忙看看。

    23 条回复    2018-08-02 17:29:54 +08:00
    james98jea
        1
    james98jea  
       2018-08-01 17:15:48 +08:00
    建议去吾爱,热心人士多
    snail00
        2
    snail00  
       2018-08-01 17:24:03 +08:00
    下载的被拦截了

    novobo
        3
    novobo  
    OP
       2018-08-01 17:32:08 +08:00
    @james98jea 曾经 14 年在吾爱某次活动放开注册的时候注册了一个账号,再也没登陆过,刚去看了,发现账号没了,没法发帖……注册要钱,好心痛……
    crist
        4
    crist  
       2018-08-01 17:37:39 +08:00
    上 HTTPS。
    xiaopc
        5
    xiaopc  
       2018-08-01 17:37:50 +08:00 via Android
    可以用在线分析看看
    https://habo.qq.com/
    novobo
        6
    novobo  
    OP
       2018-08-01 17:47:05 +08:00
    @xiaopc 无法显示详细信息,释放后的文件什么也检测出来,捆绑后的程序检测出除创建检索文件修改注册表等还有如下操作。
    创建互斥体
    枚举网络共享资源
    创建事件对象
    查找指定窗口
    获取 User 基本信息
    调整进程 token 权限
    打开事件
    可执行文件签名信息
    隐藏指定窗口
    可执行文件 MD5
    打开互斥体
    arthas2234
        7
    arthas2234  
       2018-08-01 17:56:20 +08:00
    上 https,最简单
    gcod
        8
    gcod  
       2018-08-01 19:56:04 +08:00
    还没开始下,火绒直接报毒了~
    oIMOo
        9
    oIMOo  
       2018-08-01 20:14:04 +08:00   ❤️ 1
    解压后有三个文件:
    - yzmsb.dll
    - zjspfz.tqs
    - 法宣在线学习助手 3.7.exe

    把可执行文件单独扔到沙箱里跑了一下,会劫持网络,然后给 xf.faxuan.net 发包。
    mokecc
        10
    mokecc  
       2018-08-01 20:24:17 +08:00
    你误会了 124.117.238.230 可能是运营商的缓存服务器
    gogo88
        11
    gogo88  
       2018-08-01 20:43:30 +08:00 via Android   ❤️ 1
    去吾爱,那上面大神多
    745839
        12
    745839  
       2018-08-01 21:55:28 +08:00 via iPhone
    @mokecc 运营商不会替换文件呀
    mingyun
        13
    mingyun  
       2018-08-01 22:58:09 +08:00
    @xiaopc 腾讯还有这服务
    miaomiao888
        14
    miaomiao888  
       2018-08-02 00:57:15 +08:00
    我大电信这么明目张胆加料?
    哦,原来是新疆的网(平静 ~
    ilgharkus
        15
    ilgharkus  
       2018-08-02 03:03:24 +08:00
    @miaomiao888 容易让人联想到老大哥对某些数据的违规获取和利用。(逃)
    dangyuluo
        16
    dangyuluo  
       2018-08-02 07:47:08 +08:00
    @oIMOo 真的么?上几张证据看看。
    mytsing520
        17
    mytsing520  
       2018-08-02 08:32:00 +08:00
    建议下载 302 之后的包和原包一起比对。估计都一样
    oIMOo
        18
    oIMOo  
       2018-08-02 16:42:44 +08:00
    @dangyuluo

    我没有具体看,你可以找几个沙箱看看。
    yzmsb.dll 可能会产生误报,因为加壳而已,去壳之后没什么特别的。
    法宣在线学习助手 3.7.exe 的行为比较可疑,我上面说的是有可能性,不好意思说的有点肯定了。
    我找时间详细看下。
    novobo
        19
    novobo  
    OP
       2018-08-02 17:08:37 +08:00
    @oIMOo 你看的那三个文件都没有什么问题。原下载地址的 700 多 k 的 rar 压缩包是正常文件,124.117.238.230 下载下来的文件是 1.4MB ……正常的 700 多 k 的压缩包解压后有三个文件:- yzmsb.dll ,- zjspfz.tqs ,- 法宣在线学习助手 3.7.exe 是正确压缩包的文件 xf.faxuan.net 网站也是无问题,1.45MB 的那个文件才是问题所在。

    我在虚拟机里运行了,将劫持下载的 1.45MB 的文件后缀名改为 exe 可执行程序后压缩包可以正常打开,但是可以发现它先创建了一个名为“ 51xuele-fxzx3.7_s.exe ”的程序,该程序又创建了一个 8 为数字的批处理文件,以上两个文件运行后都会自我删除。
    novobo
        20
    novobo  
    OP
       2018-08-02 17:19:35 +08:00
    @miaomiao888 也许迟早全国都会一样……也许这里只是试点特区呢。都是瞎说,请勿当真。
    novobo
        21
    novobo  
    OP
       2018-08-02 17:23:58 +08:00
    @mytsing520 我之前没有发现它被劫持了,等我发现时候就晚了没有对数据抓包。

    下载的文件两个大小完全不一样,劫持后的文件被夹带了私货,多了 700 多 kb。请仔细阅读我的帖子。
    novobo
        22
    novobo  
    OP
       2018-08-02 17:24:44 +08:00
    @mokecc 下载的文件两个大小完全不一样,劫持后的文件被夹带了私货,多了 700 多 kb。请仔细阅读我的帖子。
    novobo
        23
    novobo  
    OP
       2018-08-02 17:29:54 +08:00
    @gcod 这个 767 kb 文件有毒就有毒吧(该程序是法宣在线的代学习软件,充值包年收费软件,未发现向系统目录及注册表乱动手脚)主要是从那个 124.117.238.230 运营商处下的 1.45 MB 的文件捆绑的其他程序到底是干什么的我很好奇。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1285 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 17:59 · PVG 01:59 · LAX 09:59 · JFK 12:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.