近期发现一个很厉害的远控 大家看看自己中招没有
本帖最后由 JuStkK 于 2025-5-5 19:24 编辑微步分析连接https://s.threatbook.com/report/file/9907a57b8f887b176d969c2201ef48a294f1d25af9aeb92d135452ad5f76c981?sign=history&env=win10_1903_enx64_office2016
事情是这样 无意间看软件得时候 发现在C盘多了一个1.exe 如图
这个exe 放到微步去查询得到 1e2到1.exe .远控无疑、然后呢.看到这个地址https://tieba.baidu.com/p/1392887656贴吧内容呢 有某种链接,
确实很优秀.然后更牛逼的是我发现 -这个东西会静默修改你的精易模块不管是哪个版本 他都会修改 可以看到自己模块的修改日期 只要你使用被修改的精易模块编译出来的 就会再次释放他这个木马无限套娃【这个是我在虚拟机发现并且测试的 我用官方的模块里面没有 ,用被修改过的模块就会有这个东西】,模块我打包了 在下面的地址 大家可以看看
我把以上分析传个包 大佬们可以检查下自己电脑 或者模块有没有被修改的.有兴趣的也可以分析一下是不是如我所说记得虚拟机! https://wwss.lanzouq.com/i3MHA2vea2hc
这个早都出现过了,会修改你电脑所有的精易模块 然后从新打包, 有没有上传源码? 就火绒的流量来看 没有发现 本帖最后由 A18285528128 于 2025-5-5 18:27 编辑
https://www.52hb.com/forum.php?m ... 1632&extra=page%3D1
上次我们不是搞过一次?全程真机无防护,哪来的感染和远控,不过确实C盘写了2个文件,删了就没事,不要感染了别的病毒拿来妖言惑众噢...... A18285528128 发表于 2025-5-5 18:25
https://www.52hb.com/forum.php?m ... 1632&extra=page%3D1
上次我们不是搞过一次?全程真机无防护,哪来 ...
哦是么?妖言惑众?建国以来 貌似没有妖怪了 以下是沙箱分析链接 莫非你几句话比微步沙箱还官方?别什么都靠嘴说
https://s.threatbook.com/report/file/9907a57b8f887b176d969c2201ef48a294f1d25af9aeb92d135452ad5f76c981?sign=history&env=win10_1903_enx64_office2016
小屁崽子 发表于 2025-5-5 19:49
这个早都出现过了,会修改你电脑所有的精易模块 然后从新打包,
然后打包过的模块 在编译 就在附带木马,无限套娃{:5_118:} 谢谢分享 我还好没中招 谢谢提醒 好像已经中招了
页:
[1]
2