家里亲戚下载电子发票点了病毒,差点被诈骗

2023-12-13 15:39:39 +08:00
 zhaidoudou123

https://www.v2ex.com/t/995527 有点类似,不过这次他下载的是一个 exe 文件,模仿的是诺诺网开发票的邮件,

具体文件链接如下: http://mail.seily.com:81/download/attachment/NVHYtN2bu9Ncpk2N/KFXK2Z-KcsMK/PDF.exe

运行了以后啥都没有,结果发现微信给同事发了个信息,要求立刻转账 10 万到一个国内账户。 还好他同事警惕性高,没转。事后发现应该是电脑微信没关的原因。现在在让他重装系统,备份文件,能删的都删掉。

扔到腾讯哈勃和 virustotal 了,自己不是搞安全的,也分析不出啥来,大家有兴趣可以看看

https://habo.qq.com/file/showdetail?md5=b113ebd478ec745c473bce16fa0b92a8#file

https://www.virustotal.com/gui/file/5315b11db30d5f5a00559d1187757fb76eb5a51004e3a3bfadb7674e887bcc8a/behavior

3739 次点击
所在节点    信息安全
19 条回复
miaoxia
2023-12-13 17:15:37 +08:00
怎么把病毒文件发出来了😂
samvvv
2023-12-13 17:23:24 +08:00
植入后门了吧
Reply1hostname
2023-12-13 17:31:33 +08:00
我不小心点了......有没有大神知道咋杀毒啊
flyqie
2023-12-13 17:34:14 +08:00
建议楼主以后发病毒文件把 http 改为 hxxp ,既能看出来也能避免误点,看好多安全厂商发的通告都是这样做的。
wangxiaoer2
2023-12-13 17:41:30 +08:00
edge 给我拦了,md 差点就下下来了
i8086
2023-12-13 17:44:58 +08:00
被 Microsoft Defender SmartScreen 拦截了
dw2693734d
2023-12-13 17:45:10 +08:00
怎么下载下来是 dmg 的格式,这个病毒还单独对 macOS 做了处理?
sparklee
2023-12-13 17:47:27 +08:00
下载下来没关系啊, 你不运行就可以了
i8086
2023-12-13 17:51:02 +08:00
ESET 扫描没结果……
sparklee
2023-12-13 18:06:15 +08:00
C# .Net winform 代码, 猜测可能是调用 win32 api 给 微信 进程发消息之类实现的吧
zhaidoudou123
2023-12-13 18:08:50 +08:00
@Reply1hostname #3
啊这,实在是不好意思
zhaidoudou123
2023-12-13 18:10:37 +08:00
@flyqie #4
学会了,实在是不好意思😭
zhaidoudou123
2023-12-13 18:11:58 +08:00
@i8086 #9
@i8086 #6
@wangxiaoer2 #5
我之前下载的时候 Firefox 也给我拦住了,但是后面用 Windows Defender 并没有扫描出来
zhaidoudou123
2023-12-13 18:13:23 +08:00
@livid 有办法修改病毒文件链接吗?有点脑抽直接发出来了,没想到会有误点的情况😂
yulihao
2023-12-13 18:15:48 +08:00
他最终会从网站下载个 dll 和 exe 下来,这个 dll 才是最终要执行的
https://www.virustotal.com/gui/file/3ffa653d183013a551d113c8a3a83884067102cbe5b3af3b820ded70310cd32a
SunsetShimmer
2023-12-13 18:27:13 +08:00
被我的卡巴斯基拦截了。

ILSpy 可以反编译这个 exe ,它会下载

hxxp://mail.seily.com:81/download/attachment/NVHYtN2bu9Ncpk2N/KFXK2Z-KcsMK/app_core_legacy.dll

hxxp://mail.seily.com:81/download/attachment/NVHYtN2bu9Ncpk2N/KFXK2Z-KcsMK/1.exe

到 C:\\Users\\Public\\Documents

然后尝试管理员运行。
liyafe1997
2023-12-13 19:29:19 +08:00
ESET 居然查不出毒。。。服了
liyafe1997
2023-12-13 19:51:08 +08:00
打开下面这俩开关能查到了,之前好像因为误报还是啥的关掉了。。看来这年头杀毒软件还是有那么一丢丢作用的。
![img]( https://imgur.com/04vpugo.png)
![img]( )
ArchVile
2023-12-13 19:56:24 +08:00
木马上线 IP 为 139.196.243.129 ,使用 kcp 通信 配置信息 1:139.196.243.129|o1:6666|t1:1|p2:139.196.243.129|o 2:8888|t2:1|p3:127.0.0.1|o3:80|t3:1|dd:1|cl:1|fz:

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1000052

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX