Telegram 某汉化频道被投毒

今天无意间看到了一个 TG 的汉化频道，入眼就是一个 com 后缀的可执行文件，正好有时间就下载下来分析了一下

具体分析步骤就不赘述了，该文件为一个下载器，会释放 7zip 及压缩包至 C:\Users\Public\Downloads 目录，并在该位置通过快捷方式执行解压至文件夹 Tencente ，结果如图：

解压后得到一套经典的白加黑文件，利用的是 2003 年的一个 Outlook 的程序

除此之外，该样本使用了检测鼠标移动等方式绕过沙箱分析，通过近期国内黑产常用的断网方法绕过 360 等杀软对启动项的拦截

该频道有近 80 万关注者，且内容及其具有迷惑性，距离文件发出已经过去了一个半月，想来中招的人不在少数，希望大家注意不要轻易下载未知软件，保证自身安全

nonwill

2022-04-23 00:41:12 +08:00

说个笑话（大实话）：
去年某日始，GoldenDict++OCR 文档访问统计量突发激增(倍增) -- 多在全球地图上个别比较确定的地区，猜应是某词典分享论坛的活跃用户（大量仓鼠马甲）所为，遂于应用启动首页加国家反诈中心宣传图样一张，嘎然间访问量骤减有半，弓惊鸟散，效果斐然，如神针定海...
哈哈，至今有几个仓鼠傻缺还是念念不忘这茬儿...

诈骗从业者渗透在各行各业，防不胜防，上网安全不是小事儿...

MoRanjiang

2022-04-23 00:47:46 +08:00

八十万很有可能是刷的

Marionic0723

2022-04-23 08:19:42 +08:00

这个东西会干什么，上传用户资料吗，期待大佬们分析一波

Spark100

2022-04-23 16:29:48 +08:00

没关注这个频道

iPhone11

2022-04-23 17:10:43 +08:00

@Marionic0723 这个会当肉鸡我月初已经中毒了

iPhone11

2022-04-23 17:12:36 +08:00

```
进程行为
行为描述：创建本地线程
详情信息：
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2468, StartAddress = 77DC845A, Parameter = 00000000

TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2600, StartAddress = 77C0A341, Parameter = 003F72A0

TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2604, StartAddress = 77C0A341, Parameter = 003F72A0

TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2624, StartAddress = 77C0A341, Parameter = 003F7330

TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2848, StartAddress = 77C0A341, Parameter = 003F73C0

行为描述：枚举进程
详情信息：
N/A

文件行为
行为描述：重命名文件
详情信息：
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe ---> C:\Program Files\Common Files\3B0BDBEB.exe

网络行为
行为描述：打开指定 IE 网页
详情信息：
tg://setlanguage?lang=classic-zh-cn

行为描述：建立到一个指定的套接字连接
详情信息：
URL: da****om, IP: **.216.117.**:8000, SOCKET = 0x00000114

行为描述：按名称获取主机地址
详情信息：
gethostbyname: da****om

注册表行为
行为描述：修改注册表
详情信息：
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Software\Wxyabc Efghijkl Nop\MarkTime

\REGISTRY\USER\S-*\Software\Microsoft\ActiveMovie\devenum\Version
复制代码

Address 185.216.117.5
Hostname noc.ayidc.com
ISP Cloudie Limited
IP Organization Cloudie Limited
ASN AS55933
ASN Organization Cloudie Limited
Location 香港
```

Marionic0723

2022-04-23 20:42:31 +08:00

@iPhone11 是国宝钓鱼查 IP 吗

renzhezhu

2022-04-24 00:24:47 +08:00

兄弟们，我中招了，现在应该咋整，杀毒杀不出东西，文件已经删除了

Sun658

2022-04-24 09:57:42 +08:00

有没有大哥中招了怎么搞

laydown

2022-04-25 21:01:03 +08:00

@renzhezhu
@Sun658

如果是我自己，为了保险起见，会将重要数据备份好之后，进行全盘格式化，重装系统。

tyAngelCc

2022-05-02 10:34:06 +08:00

https://t.me/setlanguage/chinese-ancient
https://t.me/setlanguage/encha
https://t.me/setlanguage/taiwan

從來都用繁體字還有文言文漢化，踩坑的機率小，甚至還有魔法師版本的

https://t.me/setlanguage/classic-zh-cn
簡體的話，比較靠譜的是這個

zsylife

2022-05-05 00:35:32 +08:00

zh_CN_Telegram_zh_CN_CN_zh_ch_zn 看这个我笑了这是什么鬼

mayli

2023-02-16 17:39:16 +08:00

Windows 10 默认的防火墙可以检测到，当然一堆用奇葩关闭 defender 的可能就中招了

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/848464