V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
DJCNMHG
V2EX  ›  信息安全

[有偿求助] 好像中招了?(恶意软件)

  •  
  •   DJCNMHG · 2023-08-20 14:03:25 +08:00 · 2496 次点击
    这是一个创建于 468 天前的主题,其中的信息可能已经有所发展或是发生改变。
    群里有人丢了一款漏洞扫描器的下载链接

    下载到 macOS 后,丢到 VirusTotal 和 MetaDefender 里,都没报毒,就想看看是什么

    终端 chmod +x 授权,./运行,

    防火墙提示终端在请求一个 URL: https://1149785954423647.cn-shanghai.fc.aliyuncs.com/

    Google 该 URL ,信息不多,但是多半是恶意软件报告

    文件样本: https://mega.nz/folder/qmhzEAyB#ALSAIQT_utUBpUfNx3qrPA
    可执行程序为第一个

    有没有懂安全的老哥看看这玩意是恶意软件吗?
    有偿,发个 100-200 的红包,如果是的话求个解决方案
    第 1 条附言  ·  2023-08-20 20:43:35 +08:00
    好像不是恶意软件,也不是恶意 URL 。。
    ruixue
        1
    ruixue  
       2023-08-20 14:06:10 +08:00
    自己可以先用 virustotal 扫一下啊
    DJCNMHG
        2
    DJCNMHG  
    OP
       2023-08-20 14:07:51 +08:00
    @ruixue 扫了的,如上文“下载到 macOS 后,丢到 VirusTotal 和 MetaDefender 里,都没报毒,就想看看是什么
    Chyo
        3
    Chyo  
       2023-08-20 14:08:57 +08:00
    你执行之后有显示是 xray 的什么版本吗?可以先去 github 的 release 里找对应版本对比一下 md5 看看是不是原版
    asmmt
        4
    asmmt  
       2023-08-20 14:27:03 +08:00
    看域名的话感觉没什么问题,各个版本 xray 都和这个域名有通信
    ![image-20230820141641752]( https://cdn.jsdelivr.net/gh/luckyfuture0177/BlogData@latest/PicGoimg/image-20230820141641752.png)
    DJCNMHG
        5
    DJCNMHG  
    OP
       2023-08-20 14:31:06 +08:00 via iPhone
    @asmmt 请问图里其他的 xray 是官方的 md5 吗(不好意思我用手机回帖,不太方便自己去查,做了伸手党。。)
    asmmt
        6
    asmmt  
       2023-08-20 14:32:41 +08:00   ❤️ 1
    vt 全绿,大概率没啥问题。以后别在未知来源乱下安全工具。
    asmmt
        7
    asmmt  
       2023-08-20 14:34:26 +08:00   ❤️ 1
    @DJCNMHG 是的 sha256 摘要
    Andim
        8
    Andim  
       2023-08-20 15:01:46 +08:00
    xray 也不是 漏洞扫描器 呀?
    mrlmh00
        9
    mrlmh00  
       2023-08-20 15:03:16 +08:00
    @Andim xray 不是漏洞扫描器是啥?
    Andim
        10
    Andim  
       2023-08-20 15:06:47 +08:00 via iPhone
    @mrlmh00 不是 v2ray 类的代理么?
    Andim
        11
    Andim  
       2023-08-20 15:21:16 +08:00 via iPhone
    装个 Malwarebytes 全盘扫描下
    Kinnice
        12
    Kinnice  
       2023-08-20 15:28:03 +08:00 via Android
    xray 官方用来获取更新和 poc 的 url ,正常的。
    32uKHwVJ179qCmPj
        13
    32uKHwVJ179qCmPj  
       2023-08-20 16:01:52 +08:00
    32uKHwVJ179qCmPj
        14
    32uKHwVJ179qCmPj  
       2023-08-20 16:04:57 +08:00
    接#13 , 有个奇怪的地方,我看了下 xray 官方发布的近几个 release 的二进制都是没加壳的,你的这个样本加了壳
    123test1010
        15
    123test1010  
       2023-08-20 17:58:02 +08:00
    安装个 360 安全卫士简单看看
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2230 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 01:35 · PVG 09:35 · LAX 17:35 · JFK 20:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.