劫持后地址为 http://124.117.238.230:8000/?id=117352/?tid=1904/?rd=www.51xuele.cn/51soft/51xuele-fxzx3.7.rar
原下载地址是 http://www.51xuele.cn/51soft/51xuele-fxzx3.7.rar
下载回来后发现压缩包损坏又试了几次,正确的压缩包大小为 700 多 k,劫持的为 1.4MB ,也不知道软件是什么,大家能帮忙看看么?
我试着把 rar 后缀改为 exe 后可以运行,程序会在临时目录,释放“ 51xuele-fxzx3.7_s.exe ”和原本压缩包。“ 51xuele-fxzx3.7_s.exe ”运行后自删除,通过 process monitor 大概看了下它在本人电脑临时目录释放一个“ 38409750.bat ”的文件。对注册表系统目录都有操作,本人水平有限其余的也看不出来了,请大神帮忙看看。
1
james98jea 2018-08-01 17:15:48 +08:00
建议去吾爱,热心人士多
|
2
snail00 2018-08-01 17:24:03 +08:00
下载的被拦截了
|
3
novobo OP @james98jea 曾经 14 年在吾爱某次活动放开注册的时候注册了一个账号,再也没登陆过,刚去看了,发现账号没了,没法发帖……注册要钱,好心痛……
|
4
crist 2018-08-01 17:37:39 +08:00
上 HTTPS。
|
5
xiaopc 2018-08-01 17:37:50 +08:00 via Android
可以用在线分析看看
https://habo.qq.com/ |
6
novobo OP @xiaopc 无法显示详细信息,释放后的文件什么也检测出来,捆绑后的程序检测出除创建检索文件修改注册表等还有如下操作。
创建互斥体 枚举网络共享资源 创建事件对象 查找指定窗口 获取 User 基本信息 调整进程 token 权限 打开事件 可执行文件签名信息 隐藏指定窗口 可执行文件 MD5 打开互斥体 |
7
arthas2234 2018-08-01 17:56:20 +08:00
上 https,最简单
|
8
gcod 2018-08-01 19:56:04 +08:00
还没开始下,火绒直接报毒了~
|
9
oIMOo 2018-08-01 20:14:04 +08:00 1
|
10
mokecc 2018-08-01 20:24:17 +08:00
你误会了 124.117.238.230 可能是运营商的缓存服务器
|
11
gogo88 2018-08-01 20:43:30 +08:00 via Android 1
去吾爱,那上面大神多
|
14
miaomiao888 2018-08-02 00:57:15 +08:00
我大电信这么明目张胆加料?
哦,原来是新疆的网(平静 ~ |
15
ilgharkus 2018-08-02 03:03:24 +08:00
@miaomiao888 容易让人联想到老大哥对某些数据的违规获取和利用。(逃)
|
17
mytsing520 2018-08-02 08:32:00 +08:00
建议下载 302 之后的包和原包一起比对。估计都一样
|
18
oIMOo 2018-08-02 16:42:44 +08:00
@dangyuluo
我没有具体看,你可以找几个沙箱看看。 yzmsb.dll 可能会产生误报,因为加壳而已,去壳之后没什么特别的。 法宣在线学习助手 3.7.exe 的行为比较可疑,我上面说的是有可能性,不好意思说的有点肯定了。 我找时间详细看下。 |
19
novobo OP @oIMOo 你看的那三个文件都没有什么问题。原下载地址的 700 多 k 的 rar 压缩包是正常文件,124.117.238.230 下载下来的文件是 1.4MB ……正常的 700 多 k 的压缩包解压后有三个文件:- yzmsb.dll ,- zjspfz.tqs ,- 法宣在线学习助手 3.7.exe 是正确压缩包的文件 xf.faxuan.net 网站也是无问题,1.45MB 的那个文件才是问题所在。
我在虚拟机里运行了,将劫持下载的 1.45MB 的文件后缀名改为 exe 可执行程序后压缩包可以正常打开,但是可以发现它先创建了一个名为“ 51xuele-fxzx3.7_s.exe ”的程序,该程序又创建了一个 8 为数字的批处理文件,以上两个文件运行后都会自我删除。 |
20
novobo OP @miaomiao888 也许迟早全国都会一样……也许这里只是试点特区呢。都是瞎说,请勿当真。
|
21
novobo OP |