下载被运营商劫持，哪位大神能帮忙看看这个程序都做了什么恶

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2288 天前的主题，其中的信息可能已经有所发展或是发生改变。

劫持后地址为 http://124.117.238.230:8000/?id=117352/?tid=1904/?rd=www.51xuele.cn/51soft/51xuele-fxzx3.7.rar

原下载地址是 http://www.51xuele.cn/51soft/51xuele-fxzx3.7.rar

下载回来后发现压缩包损坏又试了几次，正确的压缩包大小为 700 多 k，劫持的为 1.4MB ，也不知道软件是什么，大家能帮忙看看么？

我试着把 rar 后缀改为 exe 后可以运行，程序会在临时目录，释放“ 51xuele-fxzx3.7_s.exe ”和原本压缩包。“ 51xuele-fxzx3.7_s.exe ”运行后自删除，通过 process monitor 大概看了下它在本人电脑临时目录释放一个“ 38409750.bat ”的文件。对注册表系统目录都有操作，本人水平有限其余的也看不出来了，请大神帮忙看看。

exe

劫持

xuele

fxzx

23 条回复 • 2018-08-02 17:29:54 +08:00

james98jea

2018-08-01 17:15:48 +08:00

建议去吾爱，热心人士多

snail00

2018-08-01 17:24:03 +08:00

下载的被拦截了

novobo

2018-08-01 17:32:08 +08:00

@james98jea 曾经 14 年在吾爱某次活动放开注册的时候注册了一个账号，再也没登陆过，刚去看了，发现账号没了，没法发帖……注册要钱，好心痛……

crist

2018-08-01 17:37:39 +08:00

上 HTTPS。

xiaopc

2018-08-01 17:37:50 +08:00 via Android

可以用在线分析看看
https://habo.qq.com/

novobo

2018-08-01 17:47:05 +08:00

@xiaopc 无法显示详细信息，释放后的文件什么也检测出来，捆绑后的程序检测出除创建检索文件修改注册表等还有如下操作。
创建互斥体
枚举网络共享资源
创建事件对象
查找指定窗口
获取 User 基本信息
调整进程 token 权限
打开事件
可执行文件签名信息
隐藏指定窗口
可执行文件 MD5
打开互斥体

arthas2234

2018-08-01 17:56:20 +08:00

上 https，最简单

gcod

2018-08-01 19:56:04 +08:00

还没开始下，火绒直接报毒了~

oIMOo

2018-08-01 20:14:04 +08:00

解压后有三个文件：
- yzmsb.dll
- zjspfz.tqs
- 法宣在线学习助手 3.7.exe

把可执行文件单独扔到沙箱里跑了一下，会劫持网络，然后给 xf.faxuan.net 发包。

mokecc

2018-08-01 20:24:17 +08:00

你误会了 124.117.238.230 可能是运营商的缓存服务器

gogo88

2018-08-01 20:43:30 +08:00 via Android

去吾爱，那上面大神多

745839

2018-08-01 21:55:28 +08:00 via iPhone

@mokecc 运营商不会替换文件呀

mingyun

2018-08-01 22:58:09 +08:00

@xiaopc 腾讯还有这服务

miaomiao888

2018-08-02 00:57:15 +08:00

我大电信这么明目张胆加料？
哦，原来是新疆的网（平静 ~

ilgharkus

2018-08-02 03:03:24 +08:00

@miaomiao888 容易让人联想到老大哥对某些数据的违规获取和利用。（逃）

dangyuluo

2018-08-02 07:47:08 +08:00

@oIMOo 真的么？上几张证据看看。

mytsing520

2018-08-02 08:32:00 +08:00

建议下载 302 之后的包和原包一起比对。估计都一样

oIMOo

2018-08-02 16:42:44 +08:00

@dangyuluo

我没有具体看，你可以找几个沙箱看看。
yzmsb.dll 可能会产生误报，因为加壳而已，去壳之后没什么特别的。
法宣在线学习助手 3.7.exe 的行为比较可疑，我上面说的是有可能性，不好意思说的有点肯定了。
我找时间详细看下。

novobo

2018-08-02 17:08:37 +08:00

@oIMOo 你看的那三个文件都没有什么问题。原下载地址的 700 多 k 的 rar 压缩包是正常文件，124.117.238.230 下载下来的文件是 1.4MB ……正常的 700 多 k 的压缩包解压后有三个文件：- yzmsb.dll ，- zjspfz.tqs ，- 法宣在线学习助手 3.7.exe 是正确压缩包的文件 xf.faxuan.net 网站也是无问题，1.45MB 的那个文件才是问题所在。

我在虚拟机里运行了，将劫持下载的 1.45MB 的文件后缀名改为 exe 可执行程序后压缩包可以正常打开，但是可以发现它先创建了一个名为“ 51xuele-fxzx3.7_s.exe ”的程序，该程序又创建了一个 8 为数字的批处理文件，以上两个文件运行后都会自我删除。

novobo

2018-08-02 17:19:35 +08:00

@miaomiao888 也许迟早全国都会一样……也许这里只是试点特区呢。都是瞎说，请勿当真。

novobo

2018-08-02 17:23:58 +08:00

@mytsing520 我之前没有发现它被劫持了，等我发现时候就晚了没有对数据抓包。

下载的文件两个大小完全不一样，劫持后的文件被夹带了私货，多了 700 多 kb。请仔细阅读我的帖子。

novobo

2018-08-02 17:24:44 +08:00

@mokecc 下载的文件两个大小完全不一样，劫持后的文件被夹带了私货，多了 700 多 kb。请仔细阅读我的帖子。

novobo

2018-08-02 17:29:54 +08:00

@gcod 这个 767 kb 文件有毒就有毒吧（该程序是法宣在线的代学习软件，充值包年收费软件，未发现向系统目录及注册表乱动手脚）主要是从那个 124.117.238.230 运营商处下的 1.45 MB 的文件捆绑的其他程序到底是干什么的我很好奇。