V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zhaidoudou123
V2EX  ›  信息安全

家里亲戚下载电子发票点了病毒,差点被诈骗

  •  1
     
  •   zhaidoudou123 · 2023-12-13 15:39:39 +08:00 · 3733 次点击
    这是一个创建于 373 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://www.v2ex.com/t/995527 有点类似,不过这次他下载的是一个 exe 文件,模仿的是诺诺网开发票的邮件,

    具体文件链接如下: http://mail.seily.com:81/download/attachment/NVHYtN2bu9Ncpk2N/KFXK2Z-KcsMK/PDF.exe

    运行了以后啥都没有,结果发现微信给同事发了个信息,要求立刻转账 10 万到一个国内账户。 还好他同事警惕性高,没转。事后发现应该是电脑微信没关的原因。现在在让他重装系统,备份文件,能删的都删掉。

    扔到腾讯哈勃和 virustotal 了,自己不是搞安全的,也分析不出啥来,大家有兴趣可以看看

    https://habo.qq.com/file/showdetail?md5=b113ebd478ec745c473bce16fa0b92a8#file

    https://www.virustotal.com/gui/file/5315b11db30d5f5a00559d1187757fb76eb5a51004e3a3bfadb7674e887bcc8a/behavior

    第 1 条附言  ·  2023-12-13 18:09:53 +08:00
    链接不好删除了…请大家不要打开第一个链接,防止自己中毒
    第 2 条附言  ·  2023-12-14 14:38:52 +08:00
    今天他给我发了个新的截图,这 b 人还专门建了个小号模仿我亲戚再去加别人,上来第一件事还是,打钱😂
    19 条回复    2023-12-13 19:56:24 +08:00
    miaoxia
        1
    miaoxia  
       2023-12-13 17:15:37 +08:00 via Android   ❤️ 1
    怎么把病毒文件发出来了😂
    samvvv
        2
    samvvv  
       2023-12-13 17:23:24 +08:00
    植入后门了吧
    Reply1hostname
        3
    Reply1hostname  
       2023-12-13 17:31:33 +08:00
    我不小心点了......有没有大神知道咋杀毒啊
    flyqie
        4
    flyqie  
       2023-12-13 17:34:14 +08:00 via Android
    建议楼主以后发病毒文件把 http 改为 hxxp ,既能看出来也能避免误点,看好多安全厂商发的通告都是这样做的。
    wangxiaoer2
        5
    wangxiaoer2  
       2023-12-13 17:41:30 +08:00
    edge 给我拦了,md 差点就下下来了
    i8086
        6
    i8086  
       2023-12-13 17:44:58 +08:00
    被 Microsoft Defender SmartScreen 拦截了
    dw2693734d
        7
    dw2693734d  
       2023-12-13 17:45:10 +08:00
    怎么下载下来是 dmg 的格式,这个病毒还单独对 macOS 做了处理?
    sparklee
        8
    sparklee  
       2023-12-13 17:47:27 +08:00
    下载下来没关系啊, 你不运行就可以了
    i8086
        9
    i8086  
       2023-12-13 17:51:02 +08:00
    ESET 扫描没结果……
    sparklee
        10
    sparklee  
       2023-12-13 18:06:15 +08:00
    C# .Net winform 代码, 猜测可能是调用 win32 api 给 微信 进程发消息之类实现的吧
    zhaidoudou123
        11
    zhaidoudou123  
    OP
       2023-12-13 18:08:50 +08:00
    @Reply1hostname #3
    啊这,实在是不好意思
    zhaidoudou123
        12
    zhaidoudou123  
    OP
       2023-12-13 18:10:37 +08:00
    @flyqie #4
    学会了,实在是不好意思😭
    zhaidoudou123
        13
    zhaidoudou123  
    OP
       2023-12-13 18:11:58 +08:00
    @i8086 #9
    @i8086 #6
    @wangxiaoer2 #5
    我之前下载的时候 Firefox 也给我拦住了,但是后面用 Windows Defender 并没有扫描出来
    zhaidoudou123
        14
    zhaidoudou123  
    OP
       2023-12-13 18:13:23 +08:00
    @livid 有办法修改病毒文件链接吗?有点脑抽直接发出来了,没想到会有误点的情况😂
    yulihao
        15
    yulihao  
       2023-12-13 18:15:48 +08:00
    他最终会从网站下载个 dll 和 exe 下来,这个 dll 才是最终要执行的
    https://www.virustotal.com/gui/file/3ffa653d183013a551d113c8a3a83884067102cbe5b3af3b820ded70310cd32a
    SunsetShimmer
        16
    SunsetShimmer  
       2023-12-13 18:27:13 +08:00
    被我的卡巴斯基拦截了。

    ILSpy 可以反编译这个 exe ,它会下载

    hxxp://mail.seily.com:81/download/attachment/NVHYtN2bu9Ncpk2N/KFXK2Z-KcsMK/app_core_legacy.dll

    hxxp://mail.seily.com:81/download/attachment/NVHYtN2bu9Ncpk2N/KFXK2Z-KcsMK/1.exe

    到 C:\\Users\\Public\\Documents

    然后尝试管理员运行。
    liyafe1997
        17
    liyafe1997  
       2023-12-13 19:29:19 +08:00
    ESET 居然查不出毒。。。服了
    liyafe1997
        18
    liyafe1997  
       2023-12-13 19:51:08 +08:00
    打开下面这俩开关能查到了,之前好像因为误报还是啥的关掉了。。看来这年头杀毒软件还是有那么一丢丢作用的。
    ![img]( https://imgur.com/04vpugo.png)
    ![img]( )
    ArchVile
        19
    ArchVile  
       2023-12-13 19:56:24 +08:00
    木马上线 IP 为 139.196.243.129 ,使用 kcp 通信 配置信息 1:139.196.243.129|o1:6666|t1:1|p2:139.196.243.129|o 2:8888|t2:1|p3:127.0.0.1|o3:80|t3:1|dd:1|cl:1|fz:
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2700 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 06:02 · PVG 14:02 · LAX 22:02 · JFK 01:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.