本文及资源最后更新时间 2022-04-23 by sky995
今天无意间看到了一个 TG 的汉化频道,入眼就是一个 com 后缀的可执行文件,正好有时间就下载下来分析了一下
具体分析步骤就不赘述了,该文件为一个下载器,会释放 7zip 及压缩包至 C:\Users\Public\Downloads 目录,并在该位置通过快捷方式执行解压至文件夹 Tencente ,结果如图:
解压后得到一套经典的白加黑文件,利用的是 2003 年的一个 Outlook 的程序
除此之外,该样本使用了检测鼠标移动等方式绕过沙箱分析,通过近期国内黑产常用的断网方法绕过 360 等杀软对启动项的拦截
该频道有近 80 万关注者,且内容及其具有迷惑性,距离文件发出已经过去了一个半月,想来中招的人不在少数,希望大家注意不要轻易下载未知软件,保证自身安全
好人兄提示 zh_CN是正牌,2020年就停更了。其他都是高仿,有可能被加料。
是高仿的,已经停更的原频道是 https://t.me/zh_CN
这个高仿的浏览量也有 112k ,中招的太多了
我还在某电报搜索群发现了更多高仿的,应该都是病毒