Telegram 某汉化频道被投毒
Telegram 某汉化频道被投毒 订阅人数高达百万
一个 TG 的汉化频道,入眼就是一个 com 后缀的可执行文件
该文件为一个下载器,会释放 7zip 及压缩包至 C:\Users\Public\Downloads 目录,并在该位置通过快捷方式执行解压至文件夹 Tencente ,结果如图:
解压后得到一套经典的白加黑文件,利用的是 2003 年的一个 Outlook 的程序
除此之外,该样本使用了检测鼠标移动等方式绕过沙箱分析,通过近期国内黑产常用的断网方法绕过 360 等杀软对启动项的拦截
该频道有近百万的关注者,且内容及其具有迷惑性,距离文件发出已经过去了一个半月,想来中招的人不在少数,希望大家注意不要轻易下载未知软件,保证自身安全
频道地址:https://t.me/zh_CN_Telegram_zh_CN_CN_zh_ch_zn
该文件为一个下载器,会释放 7zip 及压缩包至 C:\Users\Public\Downloads 目录,并在该位置通过快捷方式执行解压至文件夹 Tencente ,结果如图:
解压后得到一套经典的白加黑文件,利用的是 2003 年的一个 Outlook 的程序
除此之外,该样本使用了检测鼠标移动等方式绕过沙箱分析,通过近期国内黑产常用的断网方法绕过 360 等杀软对启动项的拦截
该频道有近百万的关注者,且内容及其具有迷惑性,距离文件发出已经过去了一个半月,想来中招的人不在少数,希望大家注意不要轻易下载未知软件,保证自身安全
频道地址:https://t.me/zh_CN_Telegram_zh_CN_CN_zh_ch_zn
关于作者
评论36次
想知道具体怎么检测鼠标移动
上周我帮朋友搞电报汉化的时候发现过,当时是exe后缀的程序,觉得比较奇怪。。就没有下载(因为是手机版)。。
应该是成都某个公司的黑产情报产品公安国安业务一起做,去年开始移动端和PC端就各种污染了
有点强哈哈,这搞得
还是不要去随便点击东西。该虚拟机该虚拟机
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "C:\Users\Public\Downloads\1492281\Applic.exe"
提高安全意识
有这么大用户量?
现在tel一直访问不到,有没有可用的F墙工具,能白飘的那种
应该是成都某个公司的黑产情报产品公安国安业务一起做,去年开始移动端和PC端就各种污染了
估计中招的不在少数,tg有好多莫名其妙的人发压缩包或者其他文件,我估计和这个原理一样吧
我用的是聪聪汉化
+1 那个汉化只要电击一下链接 就可以直接更改语言 不用下可执行程序
很少用pc版,在虚拟机中测试一下
这东西用手机版省去过滤大部分木马
原版英文的不好吗
英文水平不好导致原版英文不会
很多涩群都在推广汉化,大多数都是投毒的吧
汉化投毒这么恶心
还好我用的网页版
还好我用电报都是手机端
有四五个模仿钓鱼的,真正的频道是 t.me/zh_CN,但是已经停止更新了
刚看了下 com文件有5个操作, 1.检测反调试 2.释放文件,3解压文件,4 执行白加黑 5退出 白加黑中那个dll文件和那个txt 不知怎么分析。
对app端没影响吧