嘟嘟社区| 本帖最后由 yxb 于 2022-1-16 22:06 编辑
几十个杀毒软件,就一个查出有毒。谁能虚拟机逆向分析下看看到底是干嘛的。 https://w3od-my.sharepoint.com/:u:/g/personal/admin_w3od_onmicrosoft_com/EVG-MD87wN9KlMahwesNh6ABNA8sG82O5JKcJe_-6xF-VA?e=4vq1aC tg发文件的看不到id |
| 大体看了一下,就一下载者后门程序。最终的木马是一个远控木马 运行后会首先连接http://107.151.94.68:4397/t?=xxxx 下载一个压缩包,里面包含着远控木马主体程序,释放到C:ProgramData和C:UsersPublicVideosxxxxx两个目录(xxxx代表时间戳),然后执行ojbkcg.exe进程,并且TCP连接154.39.238.14:8181服务器上线,等待着接受远程控制 |
| 跟不上节奏,大佬们都开始玩毒了。 |
tg好多人 发这个 没有虚拟机,楼下来 |
那么究竟是谁发的呢? |
| 谁发的啊??? |
| TG上很多这种人,莫名其妙发个文件 |
| 发到吾爱问问 |
手贱访问了107这个地址,随便点击就自动下载了,被火绒给拦截了,没事吧 |
病毒作者使用了香港安畅小鸡作为辅助入侵工具 |