精易论坛

标题: 这个人发的文件确实有问题 [打印本页]

作者: 凌哥    时间: 2024-7-10 05:00
标题: 这个人发的文件确实有问题
本帖最后由 凌哥 于 2024-7-10 05:03 编辑




刚看到这个帖子:https://125.confly.eu.org/thread-14827771-1-1.html

然后我去他说的这人历史帖子看了下,下载到了样本:
https://125.confly.eu.org/forum.php?mod=viewthread&tid=14799828

简单分析:
软件运行后会释放文件在这个目录:"D:\Kugou\win支持库.exe"

网络行为:
访问 https://share.weiyun.com/ooWfxUzV 获取远程连接所需要的IP地址,当前IP为14.128.51.225
访问 https://app.yinxiang.com/third/s ... 6-920a-40e82cfd624b 获取远程连接所需要的IP地址,当前IP为14.128.51.225

我这边相关的测试工具都删得差不多了,暂时无法尝试拿他的服务器权限...端口扫描还是现写的

此服务器开放的端口如下分类

HTTP服务器端口:
http://14.128.51.225:80    hfs服务端
http://14.128.51.225:1757
http://14.128.51.225:1783
http://14.128.51.225:1861
http://14.128.51.225:5357
http://14.128.51.225:5985
http://14.128.51.225:19126
http://14.128.51.225:39213
http://14.128.51.225:47001

其他TCP通讯端口:
14.128.51.225:1752
14.128.51.225:1753
14.128.51.225:1813
14.128.51.225:1859
14.128.51.225:1871
14.128.51.225:1872
14.128.51.225:8080 (可重点关注)
14.128.51.225:15873

已知程序端口:
14.128.51.225:25
14.128.51.225:110
14.128.51.225:3389

可能是随机端口:
14.128.51.225:49664
14.128.51.225:49665
14.128.51.225:49666
14.128.51.225:49667
14.128.51.225:49668
14.128.51.225:49669
14.128.51.225:49670



历史相关文件:
找图点击脚本1.0.exe
电脑软件、快手双参查是否封号.exe
._cache_电脑软件、快手双参查是否封号.exe
CK_11.0.exe
快手查是否有青少年锁.exe
快手批量改昵称 2023新版1.1.exe
快手查询授权应用-调用sig.exe



作者: 大兔崽子    时间: 2024-7-10 08:44
访问 https://share.weiyun.com/ooWfxUzV 获取远程连接所需要的IP地址,当前IP为14.128.51.225

虽然 但是,   哇靠,这个方法 切换服务器ip 是真的很方便呀...  又学会了一个技能...
作者: Suky    时间: 2024-7-10 09:09
https://habo.qq.com/file/showdet ... 2YIPls6U2oHYg%3D%3D

很鸡贼,上传的程序主要的行为都在于释放和运行其他文件上,所以只看网络沙箱ai分析结果不看详细行为的人都会以为很安全




所以啊,在类似编程论坛等地方,别人上传的程序没有源码的能不用就不要用
网络沙箱ai分析的报告里,有类似这种行为的程序,没源码用以分析比对的话,那都要给它程序打个问号
这类行为都是危险行为







作者: 凌哥    时间: 2024-7-10 09:27
Suky 发表于 2024-7-10 09:09
https://habo.qq.com/file/showdetail?md5=7dfce0c86964870f73c36a903cae2182&pk=ADcGb11kB2YIPls6U2oHYg%3 ...

我刚尝试挂远控进去,草率了,没考虑免sha
作者: lyie15    时间: 2024-7-10 09:30
大兔崽子 发表于 2024-7-10 08:44
虽然 但是,   哇靠,这个方法 切换服务器ip 是真的很方便呀...  又学会了一个技能... ...

我也是来GET技能的
作者: Suky    时间: 2024-7-10 09:38
凌哥 发表于 2024-7-10 09:27
我刚尝试挂远控进去,草率了,没考虑免sha

有些事,能做不能说
哪怕对方服务器是做非法的事情的
你也不能大大咧咧说你偷偷进去玩了
作者: 凌哥    时间: 2024-7-10 09:40
Suky 发表于 2024-7-10 09:38
有些事,能做不能说
哪怕对方服务器是做非法的事情的
你也不能大大咧咧说你偷偷进去玩了 ...

没事的,心里有数
作者: Wod    时间: 2024-7-10 10:12
大兔崽子 发表于 2024-7-10 08:44
虽然 但是,   哇靠,这个方法 切换服务器ip 是真的很方便呀...  又学会了一个技能... ...

恕我直言,不如直接获取QQ名称专门搞个小号,设置名字当最新远程服务器
作者: 大兔崽子    时间: 2024-7-10 10:22
Wod 发表于 2024-7-10 10:12
恕我直言,不如直接获取QQ名称专门搞个小号,设置名字当最新远程服务器 ...

这不方便呀。   比如 有多个软件 多个服务器呢,   微云的话  更灵活
作者: Elite    时间: 2024-7-10 10:31


不知道你们电脑里面有没有这个help10.dll  ,不知道是运行论坛里面的哪个软件或是源码,应该是个病毒吧。
作者: FanLi    时间: 2024-7-10 10:49
我擦,我也下载了这个软件,尴尬。
作者: Wod    时间: 2024-7-10 11:14
大兔崽子 发表于 2024-7-10 10:22
这不方便呀。   比如 有多个软件 多个服务器呢,   微云的话  更灵活

空间说说,签名,个人说明,QQ名,群名总比微云方便。
作者: cs潇潇    时间: 2024-7-10 12:46
真的是不让人省心,好好的论坛非要投毒,太可恶了这种人,应该开户封号
作者: 笨来无一悟    时间: 2024-7-10 12:46
前几天我的某个盘符的源码和教程都被删了将近200G 还有一堆别人定做的小项目 希望没有被盗论坛看见两三次 有人软件还没发布 就被抢先发布了 有人后门偷偷上传源码 刚在点评区说少运行来路不明的文件 结果第二天还是第三天 回旋镖来咯我也中招
作者: 6xy    时间: 2024-7-10 12:57
还好养成了不熟悉的软件虚拟机运行的习惯
作者: Yakusoku    时间: 2024-7-15 19:43
本帖最后由 Yakusoku 于 2024-7-15 19:46 编辑

放毒太可恶了
作者: senyu239    时间: 2024-8-14 09:29
        全论坛易友发来贺电




欢迎光临 精易论坛 (https://125.confly.eu.org/) Powered by Discuz! X3.4