和 t/995527 有点类似,不过这次他下载的是一个 exe 文件,模仿的是诺诺网开发票的邮件,
具体文件链接如下: http://mail.seily.com:81/download/attachment/NVHYtN2bu9Ncpk2N/KFXK2Z-KcsMK/PDF.exe
运行了以后啥都没有,结果发现微信给同事发了个信息,要求立刻转账 10 万到一个国内账户。 还好他同事警惕性高,没转。事后发现应该是电脑微信没关的原因。现在在让他重装系统,备份文件,能删的都删掉。
扔到腾讯哈勃和 virustotal 了,自己不是搞安全的,也分析不出啥来,大家有兴趣可以看看
https://habo.qq.com/file/showdetail?md5=b113ebd478ec745c473bce16fa0b92a8#file
 | 1 miaoxia Dec 13, 2023 via Android  1 怎么把病毒文件发出来了 |
 | 2 samvvv Dec 13, 2023 植入后门了吧 |
 | 3 Reply1hostname Dec 13, 2023 我不小心点了......有没有大神知道咋杀毒啊 |
 | 4 flyqie Dec 13, 2023 via Android 建议楼主以后发病毒文件把 http 改为 hxxp ,既能看出来也能避免误点,看好多安全厂商发的通告都是这样做的。 |
 | 5 wangxiaoer2 Dec 13, 2023 edge 给我拦了,md 差点就下下来了 |
 | 6 i8086 Dec 13, 2023 被 Microsoft Defender SmartScreen 拦截了 |
 | 7 dw2693734d Dec 13, 2023 |
 | 8 sparklee Dec 13, 2023 下载下来没关系啊, 你不运行就可以了 |
| 9 i8086 Dec 13, 2023 ESET 扫描没结果…… |
| 10 sparklee Dec 13, 2023 C# .Net winform 代码, 猜测可能是调用 win32 api 给 微信 进程发消息之类实现的吧 |
 | 11 unneeded OP @Reply1hostname #3 啊这,实在是不好意思 |
| 13 unneeded OP |
 | 15 yulihao Dec 13, 2023 他最终会从网站下载个 dll 和 exe 下来,这个 dll 才是最终要执行的 https://www.virustotal.com/gui/file/3ffa653d183013a551d113c8a3a83884067102cbe5b3af3b820ded70310cd32a |
 | 16 Shorekeeper Dec 13, 2023 被我的卡巴斯基拦截了。 ILSpy 可以反编译这个 exe ,它会下载 hxxp://mail.seily.com:81/download/attachment/NVHYtN2bu9Ncpk2N/KFXK2Z-KcsMK/app_core_legacy.dll hxxp://mail.seily.com:81/download/attachment/NVHYtN2bu9Ncpk2N/KFXK2Z-KcsMK/1.exe 到 C:\\Users\\Public\\Documents 然后尝试管理员运行。 |
 | 17 liyafe1997 Dec 13, 2023 ESET 居然查不出毒。。。服了 |
| 18 liyafe1997 Dec 13, 2023 |
 | 19 ArchVile Dec 13, 2023 木马上线 IP 为 139.196.243.129 ,使用 kcp 通信 配置信息 1:139.196.243.129|o1:6666|t1:1|p2:139.196.243.129|o 2:8888|t2:1|p3:127.0.0.1|o3:80|t3:1|dd:1|cl:1|fz: |
Select Language