论坛有人传病毒，请大家注意

yousihai

https://www.sunk.eu.org/forum.php?mod=redirect&goto=findpost&ptid=606638&pid=7358478

这里q952417961上传了他自己编写的易语言版本的随机数生成器，其中含有病毒。我不确定这是他故意加上的还是他自己的电脑也中毒。

请注意我并没有在讨论易语言写的程序会不会被报毒！那可能只是某些杀毒软件的误报之类的。他的文件是感染exe和office系列文件的，这不是任何一个正常程序应该出现的！

证据如下：






文件不正常的显示为Synaptics公司出名，并且为压缩包。
在沙盘启动后会启动隐藏进程Synaptics.exe，并且解压出真正的._cache.XXXX.exe的真实文件。

Synaptics.exe随即感染桌面和我的文档中所有exe，将其变为压缩包形式。运行这些程序将释放出同样的病毒文件。

病毒为delphi编写。exe程序会全盘扫描并感染所有office和exe文件！



病毒压缩包打开后因为openxml的形式，推测实质为宏病毒。


已确定该文件为宏病毒。病毒本体在附件中（txt格式很安全，大佬可以分析下）

附件2为病毒exe本体，请不要执行（或在沙盒中执行！）

leonead

易语言的，正常啊

kivim

楼上一堆人是没仔细读么，楼主说的是已经感染成exe了。都在说报毒！

yousihai

woozzy 发表于 2019-11-14 09:39
用 火绒，或者卡巴杀，没提示就没毒了，易语言 有些支持库是delphi写的。。。
...

他这个绝对有毒。

另外发现有个有趣的事情。这个病毒生成的宏病毒文件对普通用户是没有杀伤力的，因为他的感染文件是从dropbox和google drive下载的，普通用户根本连不上……

creeper1

不懂装懂的说易语言报毒的人真可怕

zhaoxianjin

人家都说感染其他文件了，还有沙雕再说易语言报毒正常，这玩意是报毒吗

欧阳逍遥

易语言写个随机数 就 1M多 肯定不正常啊.  一般  生成upx 下也就 300k, 先封号再说

yousihai

病毒vba脚本已上传，懂vba的大佬可以瞅瞅

yousihai

FreeDog 发表于 2019-11-17 07:48
大佬分析工具能不能pm一份。

sandboxie 已经免费了。

FreeDog

大佬分析工具能不能pm一份。

ico

这个程序如果没有皮肤，也就十几K 到几十K之间。我写过！ 功能比这个多很多的。才100多K。

turi

一个随机数而已，自己百度弄个网页版的就行了吧，

咋还下载易语言的执行文件了。

这得多懒

Ruclinux

http://www.myzhenai.com.cn/post/2903.html
shell下有常量可以实现，php也有函数实现。可以了解一下。

leven5

针对扶墙用户专门搞的吗

yousihai

宠虫 发表于 2019-11-14 12:43
我也中过这个毒：https://www.52pojie.cn/thread-1039848-1-1.html

看下这病毒的分析：www删掉.cnblogs.co ...

这个程序感染所有exe，连安装程序都感染

宠虫

我也中过这个毒：https://www.52pojie.cn/thread-1039848-1-1.html

看下这病毒的分析：www删掉.cnblogs.com/Gj-Dreamer/p/11353230.html

注意：这软件只感染E语言程序。

开隐藏，看C:\ProgramData\Synaptics，有没有Synaptics.exe

目前实测，火绒能杀，并且能还原源文件。。。