全球主机交流论坛

标题: 论坛有人传病毒，请大家注意 [打印本页]

作者: yousihai 时间: 2019-11-14 09:30
标题: 论坛有人传病毒，请大家注意
本帖最后由 yousihai 于 2019-11-14 10:32 编辑

https://www.sunk.eu.org/forum.php?mod=redirect&goto=findpost&ptid=606638&pid=7358478

这里q952417961上传了他自己编写的易语言版本的随机数生成器，其中含有病毒。我不确定这是他故意加上的还是他自己的电脑也中毒。

请注意我并没有在讨论易语言写的程序会不会被报毒！那可能只是某些杀毒软件的误报之类的。他的文件是感染exe和office系列文件的，这不是任何一个正常程序应该出现的！

证据如下：

文件不正常的显示为Synaptics公司出名，并且为压缩包。
在沙盘启动后会启动隐藏进程Synaptics.exe，并且解压出真正的._cache.XXXX.exe的真实文件。

Synaptics.exe随即感染桌面和我的文档中所有exe，将其变为压缩包形式。运行这些程序将释放出同样的病毒文件。

病毒为delphi编写。exe程序会全盘扫描并感染所有office和exe文件！

病毒压缩包打开后因为openxml的形式，推测实质为宏病毒。

已确定该文件为宏病毒。病毒本体在附件中（txt格式很安全，大佬可以分析下）

附件2为病毒exe本体，请不要执行（或在沙盒中执行！）

作者: Stop 时间: 2019-11-14 09:30
提示: 作者被禁止或删除内容自动屏蔽

作者: 碧莲 时间: 2019-11-14 09:31
前排沙发

作者: leonead 时间: 2019-11-14 09:31
易语言的，正常啊

作者: tencentproxy 时间: 2019-11-14 09:32
易语言写个HELLO WORLD 都会报毒

作者: jpfree 时间: 2019-11-14 09:32
不懂，但是易语言很多程序都被报毒。

作者: shiro 时间: 2019-11-14 09:32
毕竟灰黑产病毒语言，正常啊

作者: citywar 时间: 2019-11-14 09:33
本帖最后由 citywar 于 2019-11-14 12:59 编辑

哇不会吧我以为MJJ都亲切善良热心

经常下载MJJ推荐的风格包。有后门怎么办。

作者: nicestill 时间: 2019-11-14 09:33
前排围观。。要火

作者: 寒夜方舟 时间: 2019-11-14 09:34
卡巴斯基就能扫，一般易语言卡巴斯基不会报毒，报毒的易语言软件肯定是有毒的

作者: fanli8 时间: 2019-11-14 09:35
易语言不是都报毒吗？

作者: wang3y2 时间: 2019-11-14 09:36
没用过

作者: yousihai 时间: 2019-11-14 09:39
病毒vba脚本已上传，懂vba的大佬可以瞅瞅

作者: woozzy 时间: 2019-11-14 09:39
用火绒，或者卡巴杀，没提示就没毒了，易语言有些支持库是delphi写的。。。

作者: 6700 时间: 2019-11-14 09:42
可能是他的易语言破解版被修改过了

当然也不排除本人加马

作者: allnetstore 时间: 2019-11-14 09:42
易语言经常报毒，所以大家都习以为常，所以更容易通过易语言传毒

作者: yousihai 时间: 2019-11-14 09:44

woozzy 发表于 2019-11-14 09:39
用火绒，或者卡巴杀，没提示就没毒了，易语言有些支持库是delphi写的。。。
...

他这个绝对有毒。

另外发现有个有趣的事情。这个病毒生成的宏病毒文件对普通用户是没有杀伤力的，因为他的感染文件是从dropbox和google drive下载的，普通用户根本连不上……

作者: 欧阳逍遥 时间: 2019-11-14 09:46
易语言写个随机数就 1M多肯定不正常啊. 一般生成upx 下也就 300k, 先封号再说

作者: Roo00kie 时间: 2019-11-14 09:47
提示: 作者被禁止或删除内容自动屏蔽

作者: kivim 时间: 2019-11-14 09:57

楼上一堆人是没仔细读么，楼主说的是已经感染成exe了。都在说报毒！

作者: hooklt 时间: 2019-11-14 10:00
用心险恶啊，应该拉出来浸猪笼

作者: h2o 时间: 2019-11-14 10:00
提示: 作者被禁止或删除内容自动屏蔽

作者: yousihai 时间: 2019-11-14 10:01

h2o 发表于 2019-11-14 10:00
URL(1) = "https://docs.google.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download"
URL(2) = " ...

这些链接已经全部404了。

作者: rux 时间: 2019-11-14 10:07
看到这么多人一听易语言就说报病毒正常也是醉了

作者: TianTangJun 时间: 2019-11-14 10:08
围观一下

作者: adminii 时间: 2019-11-14 10:18
打开工作表，执行写入注册表，关闭VBA安全提示。
然后通过URL(1),URL(2),URL(3) 下载文件，并隐藏执行。
三个连接都已经失效。
大佬不妨把那个exe发出来，在沙盒目录的：
C:\ProgramData\Synaptics\Synaptics.exe
C:\windows\\System32\Synaptics\Synaptics.exe

这两个地方。

作者: yousihai 时间: 2019-11-14 10:33

adminii 发表于 2019-11-14 10:18
打开工作表，执行写入注册表，关闭VBA安全提示。
然后通过URL(1),URL(2),URL(3) 下载文件，并隐藏执行。
...

已经上传到顶楼

作者: hehe 时间: 2019-11-14 10:48
提示: 作者被禁止或删除内容自动屏蔽

作者: 貂蝉隔壁老吕 时间: 2019-11-14 10:51
提示: 作者被禁止或删除内容自动屏蔽

作者: hellfires 时间: 2019-11-14 10:55
提示: 作者被禁止或删除内容自动屏蔽

作者: arrr 时间: 2019-11-14 10:58
我觉得你们连生成随机数都要下个程序么？od -vAn -N8 -tu8 < /dev/urandom 不好？

作者: 晴晴晴 时间: 2019-11-14 10:59
用心险恶

作者: 没有名字 时间: 2019-11-14 10:59
技术大佬给跪了

作者: zhaoxianjin 时间: 2019-11-14 11:02
人家都说感染其他文件了，还有沙雕再说易语言报毒正常，这玩意是报毒吗

作者: yushui 时间: 2019-11-14 11:03
对的昨天我下载完解压火绒就报毒删了我一开始也以为是易语言的问题就没在意用的是另一个大佬写的那个

作者: 1571742055 时间: 2019-11-14 11:05
提示: 作者被禁止或删除内容自动屏蔽

作者: niguli5 时间: 2019-11-14 11:08
留名，想要这种小程序一般都是自己写的，但还是感谢楼主指出来！！

作者: LOC论坛最屌MJJ 时间: 2019-11-14 11:28

我当时打开运行了一下就发现有捆绑释放然后我就火绒杀毒了

作者: skhtcxlo 时间: 2019-11-14 11:39
提示: 作者被禁止或删除内容自动屏蔽

作者: 半世烟尘 时间: 2019-11-14 11:58
没找到原贴,,,为啥要易语言版的随机数生成器,,,,表示PHP一把梭

作者: leasr 时间: 2019-11-14 12:00
感谢lz为净化论坛做出贡献

作者: yousihai 时间: 2019-11-14 12:24

yushui 发表于 2019-11-14 11:03
对的昨天我下载完解压火绒就报毒删了我一开始也以为是易语言的问题就没在意用的是另一个大佬写的那个 ...

那就是我写的…………

作者: creeper1 时间: 2019-11-14 12:31
不懂装懂的说易语言报毒的人真可怕

作者: yanaxiao 时间: 2019-11-14 12:31
后排围观，还好没有下载。

作者: 宠虫 时间: 2019-11-14 12:43
本帖最后由宠虫于 2019-11-14 12:50 编辑

我也中过这个毒：https://www.52pojie.cn/thread-1039848-1-1.html

看下这病毒的分析：www删掉.cnblogs.com/Gj-Dreamer/p/11353230.html

注意：这软件只感染E语言程序。

开隐藏，看C:\ProgramData\Synaptics，有没有Synaptics.exe

目前实测，火绒能杀，并且能还原源文件。。。

作者: yousihai 时间: 2019-11-14 12:54

宠虫发表于 2019-11-14 12:43
我也中过这个毒：https://www.52pojie.cn/thread-1039848-1-1.html

看下这病毒的分析：www删掉.cnblogs.co ...

这个程序感染所有exe，连安装程序都感染

作者: leven5 时间: 2019-11-14 12:56
针对扶墙用户专门搞的吗

作者: h2o 时间: 2019-11-14 13:04
提示: 作者被禁止或删除内容自动屏蔽

作者: Ruclinux 时间: 2019-11-17 06:24
http://www.myzhenai.com.cn/post/2903.html
shell下有常量可以实现，php也有函数实现。可以了解一下。

作者: turi 时间: 2019-11-17 07:46
一个随机数而已，自己百度弄个网页版的就行了吧，

咋还下载易语言的执行文件了。

这得多懒

作者: ico 时间: 2019-11-17 07:48
这个程序如果没有皮肤，也就十几K 到几十K之间。我写过！功能比这个多很多的。才100多K。

作者: FreeDog 时间: 2019-11-17 07:48
大佬分析工具能不能pm一份。

作者: yousihai 时间: 2019-11-17 14:25

FreeDog 发表于 2019-11-17 07:48
大佬分析工具能不能pm一份。

sandboxie 已经免费了。

欢迎光临全球主机交流论坛 (https://sunk.eu.org/)