2023 年 11 月 24 日收到一封邮件,我是公司法人,点开看看发票不过分吧?(虽然我从来不管公司的业务) 第一次在 V 站发贴,不知道怎么发图,我发文字算了。
收到邮箱如下:
flourishingmax11 发给 yxxxxx 2023-11-24 09:35
发件人请求阅读收条,您愿意发送收条吗? <button>发送</button>
购方名称: 北京 xxxx 信息技术有限公司
开票日期:2023-11-23
发票代码:033022200111
开票金额:978.00 元
发票号码:30297846
发票 PDF:下载发票
点击下载发票,跳转到了一个页面,是一个存储到 QQ 邮箱中转站的 zip 文件,打开 zip 里面是一个chm 文件,点击打开没什么反应,就是屏幕闪烁了一下。我看没什么作用,还手贱多点了几次,还是没什么东西出来,我就没管了。
今天突然发现笔记本电脑摄像头自动打开了,然后我就打开 windows 相机隐私设置,发现有一个应用打开了我的摄像头,是一个svchost.exe文件,鼠标移动到文件上面,还出现了公司信息:杭州诸相网络科技有限公司。
我 google 之后发现这家公司有很大的问题,一份浙江省通信管理局通报存在问题的应用软件名单:
序号 | 应用名称 | 应用开发者 | 应用来源 | 应用版本 | 所涉问题 |
---|---|---|---|---|---|
50 | 虚贝租号 | 杭州诸相网络科技有限公司 | 应用宝 | 2.9.0 | 违规收集个人信息 |
还有一则新闻:
近日,家住广州的陈先生向南都记者报料,其 14 岁的孩子近期多次通过“虚贝租号”网站,购买已完成人脸识别的游戏账号,借此绕开防沉迷系统。“虽然每次金额不大,但隔三差五在学习时间花一、两个小时玩游戏,是否会对孩子的学习及身心健康造成影响?”陈先生向南都记者表达了担忧。
这家公司在做什么事情,不用我多说了吧,请大家避雷。
svchost.exe 文件正常是删不掉,系统提示被占用不能删,我进 PE 系统把它删掉了已经,过几天看看还有没有问题吧
1
dsb2468 2023-11-27 11:59:51 +08:00
签名都会存在盗用的可能性,公司信息更是可以随便写了。。。
你现在需要检查的是电脑中的远控木马,黑客现在已经进入你电脑了,你要小心公司重要数据泄密、勒索等一系列情况。 联系安全厂商检查电脑吧。 你用的什么安全软件,打开恶意 chm 文件都没拦截提示么? |
2
dsb2468 2023-11-27 12:00:21 +08:00
你看到的那个 svchost.exe ,只是用来加载恶意 DLL 的
|
5
des 2023-11-27 12:04:30 +08:00 via iPhone
安全意识有待提高,chm 中毒就不说了,毕竟不是所有人都有相关知识。
不明来源文件点开没反应居然好久没意识到有问题 还有中病毒了居然想着删文件就好了,重装系统吧,不让钱丢了都不知道怎么丢的 |
6
Ghostsss 2023-11-27 12:09:38 +08:00 3
上周遇到过的情景:通过邮件发送的压缩包,内部伪装成 dmg 里面又套了 msi 。这位人员刚开始以为是重要资料,就点开了,也是闪了一下就没了。好的一点是这位人员有良好的安全意识,直接上报了。后来我们这边特意测试了下,安全软件真就一个都没起效,就很奇怪。
|
7
des 2023-11-27 12:12:11 +08:00 via iPhone 1
还有听你的描述感觉像是被人盯上了…
建议你把密码什么的全都改了,记得不要在这台电脑上操作 估计你电脑上的所有东西都泄漏了,拿你的信息去做什么事就不知道了 |
11
kangod OP @des 我哭辽。。好吧,看来只能重装系统了,这样想想感觉这个故意透露的公司名称,可能就是想让我放松警惕,不要采取什么其他措施,才整出来的。总之安心一点我还是重装系统吧。
|
12
kangod OP @justxiaoxiao 我 google 这家公司的时候,也看到这条帖子了,好像还挺火的。。。我不说了,我去重装系统了。。。
|
13
xmh51 2023-11-27 12:37:26 +08:00 1
重装系统,基本的安全软件还是装一下。比如火绒
|
15
danbai 2023-11-27 13:12:55 +08:00 via Android
@justxiaoxiao 有点巧哦
|
16
opengps 2023-11-27 13:19:32 +08:00 2
svchost.exe 是 windows 系统进程,但内部加载执行了什么命令就说不准了
|
17
Alexsen 2023-11-27 13:22:56 +08:00
杭州诸相网络科技有限公司?这不是之前挺火的
|
18
leonshaw 2023-11-27 13:44:54 +08:00
@justxiaoxiao 我说怎么有点印象
|
19
kangod OP @dsb2468 好主意,我在附言上面添加一下,它这个文件本来就相当于存在网盘上的,是存在 QQ 邮箱中转站文件里面的,我把链接给一下
|
20
icyalala 2023-11-27 13:53:00 +08:00 1
都是公司法人了,安全意识都这么差?
你就当这台电脑上的所有资料,包括各种密码都被偷了。在这个假设上亡羊补牢。 |
21
thinkm 2023-11-27 13:55:03 +08:00
卡巴斯基未报毒
|
23
wdlth 2023-11-27 14:21:14 +08:00
CHM 解压出来是个很大的 HTML ,unescape 后扫描结果是这个:
https://www.virustotal.com/gui/file/d5273546aeacccc35c22c6c48c726619fc8e8faad92632cf2d561da705c58ddb/detection |
24
fzls 2023-11-27 14:39:42 +08:00
你胆子好大,陌生邮件里的福建居然敢下载后并解压双击里面的文件🤣很容易中毒的,很多病毒后缀特意不写 exe ,改成图片之类的后缀
|
26
R18 2023-11-27 14:44:35 +08:00
|
27
InDom 2023-11-27 14:55:08 +08:00 3
那么,接下来的故事,应该是这样的:
Hi there! Unfortunately, I need to start our conversation with bad news for you. Around few months back I managed to get full access to all devices of yours, which are used by you on a daily basis to browse internet. Afterwards, I could initiate monitoring and tracking of all your activities on the internet. I am proud to share the sequence of how it happened: In the past I bought from hackers the access to various email accounts (today, that is rather a simple thing to do online). Clearly, it was not hard at all for me to log in to your email account (...). A week after that, I had already managed to effortlessly install Trojan virus to Operating Systems of all devices that are currently in your use, and as result gained access to your email. To be honest, that was not really difficult at all (because you were eagerly opening the links from your inbox emails). I know, I am a genius. ~-~ With help of that software, I can gain access to all controllers in your devices (such as video camera, keyboard and microphone). As result, I downloaded to my remote cloud servers all your personal data, photos and other information including web browsing history. Likewise, I have complete access to all your social networks, messengers, chat history, emails, as well as contacts list. My intelligent virus unceasingly refreshes its signatures (due to its driver-based nature), and hereby stays unnoticed by your antivirus software. Herbey, I believe that now you finally start realizing how I could easily remain unnoticed all this while until this very letter... While collecting information related to you, I had also unveiled that you are a true fan of porn sites. You truly enjoy browsing through adult sites and watching horny vids, while playing your dirty solo games. Bingo! I also recorded several filthy scenes with you in the main focus and montaged some dirty videos, which demonstrate your passionate masturbation and cum sessions. In case you still don't believe me, all I need is just one-two mouse clicks to make all your unmasking videos become available to your friends, colleagues, and even relatives. Well, if you still doubt me, I can easily make recorded videos of your orgasms become a public. I truly believe that you surely would avoid that from happening, taking in consideration the type of the XXX videos you love watching, (you are clearly aware of what I mean) it will result in a huge disaster for you. Well, there is still a way to settle this tricky situation in a peaceful manner: You will need to transfer $950 USD to my account (refer to Bitcoin equivalent based on the exchange rate at the moment transfer), so once funds transfer is complete, I will straight away proceed with deleting all that dirty content from servers once and for all. Afterwards, you can consider that we never met before. You have my honest word, that all the harmful software will also be deactivated and deleted from all your devices currently in use. Worry not, I keep my promises. That is truly a win-win solution that comes at a relatively reduced cost, mostly knowing how much effort I spent on monitoring your profile and traffic for a considerably long time. In event that you have no idea about means of buying and transferring bitcoins - don't hesitate to use any search engine for your assistance (e.g., Google, Yahoo, Bing, etc.). My bitcoin wallet is as follows: xxxxxxxx-xxxxxxxx-xxxxxxxx-xxxxxxxx An important notice: I have specified my Bitcoin wallet with "-" symbols, hence once you carry out a transfer, please make sure that you key-in my bitcoin address without "-" to be sure that your funds successfully reach my wallet. I have allocated 48 hours for you to do that, and the timer started right after you opened this very email (2 days to be exact). Don't even think of doing anything of the following: ! Abstain from attempting to reply me (this email was created by me inside your inbox page and the return address was generated accordingly). ! Abstain from attempting to get in touch with police or any other security services. Moreover, don't even think of sharing this to you friends. Once I discover this (apparently, that is absolutely easy for me, taking in consideration that I have complete control over all systems you use) - kinky video will straight away be made public. ! Don't even think of attempting to find me - that is completely useless. Don't forget that all cryptocurrency transactions remain completely anonymous. ! Don't attempt reinstalling the OS on all your devices or getting rid of them. That won't lead you to success either, because I have already saved all videos at my remote servers as a backup. Things you should not be concerned about: ! That your funds transfer won't reach my wallet. - Worry not, I can see everything, hence after you finish the transfer, I will get a notification right away (trojan virus of mine uses a remote-control feature, which functions similarly to TeamViewer). ! That I |
29
clorischan 2023-11-27 15:51:02 +08:00
https://imgur.com/a/QsZqLmN.jpg
点下载 WD 直接就给干掉了 |
30
twofox 2023-11-27 15:55:10 +08:00 1
?
怎么跟我之前看到的新闻一模一样 大概就是你这样,点了邮件,中了病毒 然后,通过远程控制,伪造自己事老板,然后让会计转钱 你既然都是法人了,那么建议你跟手下的人说一下,最近转钱的事情,要当面或者电话确认 |
31
twofox 2023-11-27 15:59:03 +08:00
|
32
wdlth 2023-11-27 16:15:39 +08:00
这是 Base64 解码后的 Shellcode ,是一个序列化后的数据
https://www.virustotal.com/gui/file/75ca3f71a33b7cee987579fb8e4a653f088f24c79eca341dd43490c52f89715d/detection |
33
dsb2468 2023-11-27 16:35:00 +08:00 1
|
35
shenjinpeng 2023-11-27 16:40:02 +08:00
身边做财务的朋友已经有几个中招了, 听说是远程控制电脑微信群发 , chm 和 vbe 格式
|
38
qiaofanxing 2023-11-27 17:20:56 +08:00
@dsb2468 #37 我用卡巴试了一下,被杀了。有没有胆子大的试试别家的
|
39
asm 2023-11-27 17:28:39 +08:00 5
下载了一坨多益游戏的文件,不过有三个感觉是恶意的。典型的白加黑,先加载 libcef.dll ,之后加载,Foolish.png 和 Foolish.dat 。特别是 libcefl.dll ,算是源码级的免杀了。
Foolish.png 被解密出一个 pe 文件,看 pdb 文件, E:\2023-TianMa~\TMAir_Ghost10.0_dev_vs2022 标记 v4.5.0\TMAir_Ghost10.0_dev_vs2022\dependencies\include\fmt\core.h 算是 gh0st 的改版的远控了。 这一系列算是这两年特别出名的,银狐干的。这个名字没有个准确的组织,算是这一系列的总成。 重装系统吧。虽然没找到有什么特殊的自启动,毕竟心里安心。 |
40
kangod OP 各位大佬好厉害…涨知识了,已经重装系统了,现在还在安装软件
|
42
restkhz 2023-11-27 19:07:23 +08:00
下载链接失效,谁补一下?我最近在研究逆向工程,想找个样本玩玩。
|
43
shalingye 2023-11-27 19:19:23 +08:00 via Android
密码口令都要去改了,有的病毒不止是本身,还拖家带口其他病毒过来,可以把 chromium 系存的密码都拿走。
|
44
deorth 2023-11-27 19:21:41 +08:00 via Android
你咋不把 explorer.exe 删了呢
|
45
netabare 2023-11-27 19:26:40 +08:00 via iPhone 1
看到 chm 文件就应该意识到是恶意邮件了吧
|
46
yumusb 2023-11-27 19:49:03 +08:00
1. 银狐木马家族的新变种。
2. 攻击者使用那个邮箱发给你,不排除那个邮箱是失陷的。 3. 这个家族的特征算是比较固定,清理即可,不需要重装。 |
47
luhe 2023-11-27 19:56:47 +08:00 via iPhone
突然在想我有没有什么时候点过什么,中毒了还不自知……
|
48
BlueHat514 2023-11-27 20:04:18 +08:00
这些病毒有老哥有源代码吗?想学习一下思路.......
|
49
crsmk01 2023-11-27 20:15:20 +08:00
@dsb2468 根据 OSS 这个 bucket 的名称可以找到这个阿里云账号,看看能不能让网警联系阿里云,冻结这个 oss bucket 及账号
|
50
doctorlai 2023-11-27 20:20:19 +08:00
首先。。为什么要点击链接?
|
51
tyrantZhao 2023-11-27 20:34:21 +08:00
不能点击未知链接是常识,毕竟坏人太多。
|
52
ouqihang 2023-11-27 20:39:46 +08:00 via Android
@BlueHat514 程序编译了打包进 JS 了。
|
53
ixdeal 2023-11-27 20:59:38 +08:00
https://v2ex.com/t/995012#reply4 我就知道会有人提起这个问题,只是我一直没问题,也不知道怎么回事。
|
54
frankilla 2023-11-27 21:26:11 +08:00
未知邮件我本就一律删除看都不看。自己是否使用了邮件或者跟别人交代了你的邮件本人肯定知道啊。
|
55
kangod OP @restkhz 我重装系统文件已经没了,看看其他人还有没有。3 天过去了都没失效,突然这时候失效,这小子估计也上 V 站
|
56
Ericcccccccc 2023-11-27 21:35:28 +08:00
看到 8 楼, 怎么还是连续剧...
|
57
billowssun123 2023-11-27 21:46:35 +08:00
我以为只有大叔大伯会去点。,。。
|
58
luckykong 2023-11-27 21:46:57 +08:00
@kangod #55 不一定,可能仅仅是访问次数、频率到了而已。。
另外,电脑重装已经不重要了,抓紧跟公司财务、银行联系一下,在资金流动上多用点心,多加点防备措施。 你如果不是公司重要成员,抓紧把公司法人推掉吧。你搞这么一出,不管是对你,还是对公司,都很危险。。 |
59
Admstor 2023-11-27 21:53:24 +08:00
槽点满满
|
60
sleepingdog 2023-11-28 06:10:26 +08:00
@Ericcccccccc #56
@dsb2468 #33 @lambdaq #22 @justxiaoxiao #8 我重新吃完 GTP 哥的瓜(果然是老早就吃过的) 感觉这个黑客哥应该是个绿林好汉,它所指向的网站“诸相网络”大概是放出来的烟雾弹。 的确是个好思路,拉完 shit 之后用这些黑名单做厕纸,顺手增加不良公司的曝光率~ (相信又不少人和我一样又重新回味了一遍,或者第一次了解到什么是诸相网络,什么是虚贝租号。——帖子里的老哥们都疯狂增加这几个词的 SEO 。故事的主角 GPT 哥是刻板印象中的老实技术男,作为吃瓜群众,看完整个剧情之后只能“哀其不幸怒其不争”。然而,我相信更多的人从故事中看到另一个可能的自己,一个被其他人 PUA 过的自己,一个曾相信技术改变世界的自己) 如果这类技术大佬走梁山路,希望他们的屠龙刀不要指向弱者,当然更不要中了预言——屠龙勇士变恶龙。 (既然 GPT 哥事件起源 V2 ,有理由怀疑做这件事的好汉也很可能会看到这个帖子) |
61
www5070504 2023-11-28 09:52:24 +08:00
重做系统也记得硬盘重新分区一下
|
62
Giftina 2023-11-28 09:57:16 +08:00
这是经典的 c&c 远控,chm 里嵌 js ,拉起 PowerShell 关闭.net 安全校验,.net 下载白 dll 和黑负载,白加黑绕过杀软最终加载进系统潜伏,拉屎还是偷鸡摸狗就看控制者的玩法了,看网上说基本上是当大批量肉鸡卖,中招了如果没有备份一般建议是直接重装
|
63
Promtheus 2023-11-28 10:13:29 +08:00
长知识了。
|
64
pkoukk 2023-11-28 10:26:27 +08:00
我 2006 年第一次中毒被盗号,就是收到了同学发给我的 chm ,说这本书很好看,点开闪了一下就没了
没想到 2023 年还能看到文艺复兴 |
66
Heimo 2023-11-28 11:02:44 +08:00
文件已过期或已被删除
|
68
sssbbb 2023-11-28 11:27:19 +08:00
看描述是银狐木马,最近特别流行,下载器使用白加黑,木马程序也是白加黑,杀软基本没用,主要靠 IP 或者域名情报监测,传播方式主要为邮件或者微信群钓鱼,你遇到到的是最典型的发票邮件钓鱼。检查一下 C:\Users\Public\Downloads 下有没有蓝色小马图标 exe
|
69
keymao 2023-11-28 11:29:55 +08:00
重要资产竟然连 defender 都禁用。。 这不是又菜又爱玩么。。。 上网习惯良好不代表不会掉坑里。 本站还有很多类似把 update 和 defender 都禁用,但是又什么都不安装的裸奔人士, 做黑产的可太喜欢这些人了,免杀都省的做了。
|
70
uni 2023-11-28 11:35:38 +08:00
哈哈哈抱歉楼主,想到这病毒搞这么一大圈就为了刷你的脸给小学生玩游戏,这我有点被笑道
|
71
Ashore 2023-11-28 11:38:54 +08:00
@justxiaoxiao 原来是这样,我说怎么看着有点眼熟
|
72
t133 2023-11-28 12:03:22 +08:00 via iPhone
开了 UAC 吗 还是提权你给同意了?
没触发 UAC 的话有点厉害的 |
73
sloknyyz 2023-11-28 12:40:38 +08:00
@t133 Windows 绕 uac 不要太简单。op 也是 nb ,不明白的发件人发的东西都敢点,敢下载,敢执行。不中招都不行了。
|
74
onice 2023-11-28 16:49:21 +08:00
op 厉害了,电脑不安装任何安全软件,,还是公司法人。
就不怕公司机密泄露么。老牌安全软件 nod32 淘宝蓝蝶买正版八九多就能用三年。卡巴斯基一百多也能用三年。 幸好数据没被加密。不然就只能等着交赎金。 |
76
cxy2244186975 361 天前 via iPhone
chm 、我当时就笑了/
|
77
cxy2244186975 361 天前 via iPhone
@sleepingdog 看到这里绷不住了/hh
|