对发布携带后门工具的会员 lonely666 永久BanID处理
对发布携带后门工具的会员 lonely666 永久BanID处理
经论坛管理团队检测,发现该帖发布的工具“Incandescent 白炽V1.0.zip”捆绑木马
https://www.t00ls.com/thread-54341-1-1.html
执行后自动感染全盘所有exe文件,并替换exe文件的图标为“Incandescent 白炽V1.0”相同图标,执行被感染的exe(如命令行工具)后会新开一个cmd窗口执行"._cache_原exe名.exe"
微步在线沙盒分析报告地址
https://s.threatbook.cn/report/file/8db8d56a6ffe4e959fdb62d39191aff1d627193faf879ca53894736f26110669/?env=win7_sp1_enx86_office2013
检出的木马下载插件地址:
https://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1
https://www.dropbox.com/s/n1w4p8gc6jzo0sg/SUpdate.ini?dl=1
http://xred.site50.net/syn/SSLLibrary.dll
https://docs.google.com/uc?id=0BxsMXGfPIZfSTmlVYkxhSDg5TzQ
https://docs.google.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk
http://xred.site50.net/syn/SUpdate.ini
https://www.dropbox.com/s/fzj752whr3ontsm/SSLLibrary.dll?dl=1
https://docs.google.com/uc?id=0BxsMXGfPIZfSVlVsOGlEVGxuZVk
http://xred.site50.net/syn/Synaptics.rar
部分地址已经失效
以下是部分网上的分析工具截图
会下载该dll加载:
如图是上线地址:
根据T00ls总规则:
如果非原创,必须自己确认无毒无后门,若发布带毒带后门工具软件,直接封号,不管有意无意。
故对会员lonely666 进行永久banID处理
关于作者
评论74次
对待这种恶意传播后门的人 建议管理公布其 邮箱地址 和常用的登录IP
这个楼主是我朋友哈,他应该是环境被感染了,这个小伙子人品我相信的,还没成年呢,哪来的那些心机搞后门之前他发工具都是放源码的,这次他说是在学校编译的,编译的时候不小心下了个软件,结果就给感染了。
你这朋友太。。。。。自己被全盘感染了。还能开发么。换是感染之前就已经开发出来了。既然感染之前就开发出来了请问。他的所有盘的exe文件都被感染了图标变了。他竟然毫无察觉。这话你信么
客观角度来说,也可能是开发环境造成的感染此病毒,有次有个朋友给我工具,致使我全盘感染,后来发现病毒,去溯源才排查到原因,出处。
建议抓捕归案 好好教育一下
在线的查询那么多 它不香么
有个xi惯就是这类东西都在虚拟机运行,虽然也有被搞的风险,但是减小了很多
幸好这个软件当时看到觉得没啥用就没下载,平时也xi惯这类东西都放到虚拟机搞,
客观角度来说,也可能是开发环境造成的感染此病毒,有次有个朋友给我工具,致使我全盘感染,后来发现病毒,去溯源才排查到原因,出处。
在论坛搞这种后门 这人是什么想的。。。。
对于这种行为,坚决维护吐司
对待这种恶意传播后门的人 建议管理公布其 邮箱地址 和常用的登录IP
注册吐司不需要太多信息,仅仅只需要一个邮箱,完全可以用小号,上线机器可以再淘宝买,也不知道是哪个辣鸡机房的。 只能说还是自己用的时候多小心吧。
对于这种行为,坚决维护吐司,把这人清理出去
为什么我感觉有可能是开发环境被感染导致的 看那个老哥好像把源码都发出来应该不会做这么蠢的事吧
要对自己的行为负责啊。这么明显的捆绑带马还发。
看来以后得小心点了
给tools团队点赞。绑马这种恶劣可耻行为就该永久封ID,严重破坏了交流学xi的风气。
建议抓捕归案 好好教育一下
对待这种恶意传播后门的人 建议管理公布其 邮箱地址 和常用的登录IP