家里亲戚下载电子发票点了病毒，差点被诈骗

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

RANDOM.org 密码生成器

uBlock

Authy

LastPass

FreebuF.com

Beebeeto

Dashlane 密码管理器

这是一个创建于 667 天前的主题，其中的信息可能已经有所发展或是发生改变。

和 t/995527 有点类似，不过这次他下载的是一个 exe 文件，模仿的是诺诺网开发票的邮件，

具体文件链接如下： http://mail.seily.com:81/download/attachment/NVHYtN2bu9Ncpk2N/KFXK2Z-KcsMK/PDF.exe

运行了以后啥都没有，结果发现微信给同事发了个信息，要求立刻转账 10 万到一个国内账户。还好他同事警惕性高，没转。事后发现应该是电脑微信没关的原因。现在在让他重装系统，备份文件，能删的都删掉。

扔到腾讯哈勃和 virustotal 了，自己不是搞安全的，也分析不出啥来，大家有兴趣可以看看

https://habo.qq.com/file/showdetail?md5=b113ebd478ec745c473bce16fa0b92a8#file

https://www.virustotal.com/gui/file/5315b11db30d5f5a00559d1187757fb76eb5a51004e3a3bfadb7674e887bcc8a/behavior

第 1 条附言 2023-12-13 18:09:53 +08:00

链接不好删除了…请大家不要打开第一个链接，防止自己中毒

第 2 条附言 2023-12-14 14:38:52 +08:00

今天他给我发了个新的截图，这 b 人还专门建了个小号模仿我亲戚再去加别人，上来第一件事还是，打钱

Virustotal

同事

微信

文件

19 条回复 2023-12-13 19:56:24 +08:00

miaoxia

2023-12-13 17:15:37 +08:00 via Android

怎么把病毒文件发出来了

samvvv

2023-12-13 17:23:24 +08:00

植入后门了吧

Reply1hostname

2023-12-13 17:31:33 +08:00

我不小心点了......有没有大神知道咋杀毒啊

flyqie

2023-12-13 17:34:14 +08:00 via Android

建议楼主以后发病毒文件把 http 改为 hxxp ，既能看出来也能避免误点，看好多安全厂商发的通告都是这样做的。

wangxiaoer2

2023-12-13 17:41:30 +08:00

edge 给我拦了，md 差点就下下来了

i8086

2023-12-13 17:44:58 +08:00

被 Microsoft Defender SmartScreen 拦截了

dw2693734d

2023-12-13 17:45:10 +08:00

怎么下载下来是 dmg 的格式，这个病毒还单独对 macOS 做了处理？

sparklee

2023-12-13 17:47:27 +08:00

下载下来没关系啊, 你不运行就可以了

i8086

2023-12-13 17:51:02 +08:00

ESET 扫描没结果……

sparklee

2023-12-13 18:06:15 +08:00

C# .Net winform 代码, 猜测可能是调用 win32 api 给微信进程发消息之类实现的吧

unneeded

2023-12-13 18:08:50 +08:00

@Reply1hostname #3
啊这，实在是不好意思

unneeded

2023-12-13 18:10:37 +08:00

@flyqie #4
学会了，实在是不好意思

unneeded

2023-12-13 18:11:58 +08:00

@i8086 #9
@i8086 #6
@wangxiaoer2 #5
我之前下载的时候 Firefox 也给我拦住了，但是后面用 Windows Defender 并没有扫描出来

unneeded

2023-12-13 18:13:23 +08:00

@livid 有办法修改病毒文件链接吗？有点脑抽直接发出来了，没想到会有误点的情况

yulihao

2023-12-13 18:15:48 +08:00

他最终会从网站下载个 dll 和 exe 下来，这个 dll 才是最终要执行的
https://www.virustotal.com/gui/file/3ffa653d183013a551d113c8a3a83884067102cbe5b3af3b820ded70310cd32a

SunsetShimmer

2023-12-13 18:27:13 +08:00

被我的卡巴斯基拦截了。

ILSpy 可以反编译这个 exe ，它会下载

hxxp://mail.seily.com:81/download/attachment/NVHYtN2bu9Ncpk2N/KFXK2Z-KcsMK/app_core_legacy.dll

hxxp://mail.seily.com:81/download/attachment/NVHYtN2bu9Ncpk2N/KFXK2Z-KcsMK/1.exe

到 C:\\Users\\Public\\Documents

然后尝试管理员运行。

liyafe1997

2023-12-13 19:29:19 +08:00

ESET 居然查不出毒。。。服了

liyafe1997

2023-12-13 19:51:08 +08:00

打开下面这俩开关能查到了，之前好像因为误报还是啥的关掉了。。看来这年头杀毒软件还是有那么一丢丢作用的。
![img]( https://imgur.com/04vpugo.png)
![img](

)

ArchVile

2023-12-13 19:56:24 +08:00

木马上线 IP 为 139.196.243.129 ，使用 kcp 通配置信息 1:139.196.243.129|o1:6666|t1:1|p2:139.196.243.129|o 2:8888|t2:1|p3:127.0.0.1|o3:80|t3:1|dd:1|cl:1|fz: