Telegram のグループチャットで見かけたマルウェアプログラムは、直接的には exe ソフトウェアを含んだ圧縮ファイルです。以前見たマルウェアプログラムとは異なり、これらを見たほとんどの人はマルウェアファイルであることを認識するでしょうが、誘惑に負けてクリックする人や単純な友人もいます。
また、この人の情報を調べたところ、彼は大会員を開設しており、個人の説明には支払い先のアドレスが変更されていることが記載されています。送金する前に必ず確認してください。おそらく、このプログラムによってアカウントが盗まれた友人の可能性があります。
マルウェアのサンプル:Google Drive
ハボ分析:https://habo.qq.com/file/showdetail?pk=ADcGb11qB2cIOVs6U2I%3D
Kaspersky(カスペルスキー):https://opentip.kaspersky.com/C667BE786A5A67A74331E1FA7E2CEF2BC33B55739AD31B5456A3697623C6BACF/results?tab=upload
上のスクリーンショットから、これは間違いなくマルウェアファイルであることがわかります。主な機能は、電子的な方法でユーザーの活動を監視し(キーボード入力の傍受、スクリーンショットの取得、アクティブなアプリケーションのリストのキャプチャなど)、収集した情報をさまざまな方法でハッカーに送信し、プログラムが検出されないようにし、コンピュータのファイルを完全に制御することです。
しかし、このプログラムは、ウイルス対策ソフトウェアをインストールしていれば検出できると思います。私は火绒セキュリティでスキャンしたところ、危険が検出されました!
それから、仮想マシンを起動してこのソフトウェアのアクティビティ範囲をキャプチャしましたが、技術には詳しくないので笑わないでください。
まず、ソフトウェアを開くと何も表示されず、バックグラウンドでしばらく実行された後に閉じられます。この時、note.youdao.com:443 と bucket-ynote-online-cdn.note.youdao.com:443 にリクエストが送信されます。
私は clash for windows の tun モードを使用しているため、clash クライアントで確認しました。
自分の IP が漏洩しないようにするためであり、仮想マシンでシステムプロキシを設定しても適用されない可能性があるためです。
その後、ポップアップウィンドウが表示されますが、その用途はわかりません。ユーザーディレクトリに exe ファイルが生成されます。
私はこの exe ファイルを Kaspersky(カスペルスキー)にアップロードしました:[https://opentip.kaspersky.com/C9A1C52F5F5C8DEEF76B8E989C6A377F00061FA369CBD1CEE7F53F8F03295F5C/results?tab=upload]((https://opentip.kaspersky.com/C9A1C52F5F5C8DEEF76B8E989C6A377F00061FA369CBD1CEE7F53F8F03295F5C/results?tab=upload) 問題は見つかりませんでした!
そして、このプログラムは常に 2 つのアドレスにリクエストを送信します。38.45.120.226:7076 と jlbhm.one:5688 です。私はこのドメインが最近登録されたことを調べました。
また、jlbhm.one ドメインは解決されておらず、38.45.120.226:7076 は常に接続中であり、jlbhm.one:5688 は接続して切断し、再び接続します。
私はウェブマスターツールを使用してこの IP を ping しました:https://ping.chinaz.com/38.45.120.226 結果はどうだと思いますか?
IP は中国香港の Cogent を示しており、私はこの 38 で始まる IP について非常に馴染みがあることに気付きました。考えてみると、以前に YouTube で香港の cmi サーバーを推薦されたことがあり、その時に 38 で始まる IP を購入したことを思い出しました。基本的に、彼らの香港の cmi も 38 で始まる IP であり、ウェブマスターツールで ping しても中国香港の Cogent でした。
このウェブマスターの連絡先を見つけて、以下の内容を尋ねました:
以上で、私の知識が限られているため、これで終わりです。ただ久しぶりにいじることもなく、ブログも久しぶりに更新していなかったので、ちょっといじくり回してみました。