对发布携带后门工具的会员 lonely666 永久BanID处理

2019-12-20 13:55:49 74 10323 6


对发布携带后门工具的会员 lonely666 永久BanID处理

经论坛管理团队检测,发现该帖发布的工具“Incandescent 白炽V1.0.zip”捆绑木马
https://www.t00ls.com/thread-54341-1-1.html


执行后自动感染全盘所有exe文件,并替换exe文件的图标为“Incandescent 白炽V1.0”相同图标,执行被感染的exe(如命令行工具)后会新开一个cmd窗口执行"._cache_原exe名.exe"
微步在线沙盒分析报告地址
https://s.threatbook.cn/report/file/8db8d56a6ffe4e959fdb62d39191aff1d627193faf879ca53894736f26110669/?env=win7_sp1_enx86_office2013

检出的木马下载插件地址:
    https://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1
    https://www.dropbox.com/s/n1w4p8gc6jzo0sg/SUpdate.ini?dl=1
    http://xred.site50.net/syn/SSLLibrary.dll
    https://docs.google.com/uc?id=0BxsMXGfPIZfSTmlVYkxhSDg5TzQ
    https://docs.google.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk
    http://xred.site50.net/syn/SUpdate.ini
    https://www.dropbox.com/s/fzj752whr3ontsm/SSLLibrary.dll?dl=1
    https://docs.google.com/uc?id=0BxsMXGfPIZfSVlVsOGlEVGxuZVk
    http://xred.site50.net/syn/Synaptics.rar

部分地址已经失效

以下是部分网上的分析工具截图

会下载该dll加载:


如图是上线地址:




根据T00ls总规则

如果非原创,必须自己确认无毒无后门,若发布带毒带后门工具软件,直接封号,不管有意无意。



故对会员lonely666 进行永久banID处理
类别 官方公告

关于作者

t00ls管理团队18661篇文章869篇回复

t00ls管理团队18
74

评论74次

要评论?请先  登录  或  注册
  • TOP1
    纯洁小白
    Rank: 2
    2019-12-20 14:27

    对待这种恶意传播后门的人 建议管理公布其 邮箱地址 和常用的登录IP

  • TOP2
    Anonymous
    Rank: 1
    2019-12-20 21:57

    这个楼主是我朋友哈,他应该是环境被感染了,这个小伙子人品我相信的,还没成年呢,哪来的那些心机搞后门之前他发工具都是放源码的,这次他说是在学校编译的,编译的时候不小心下了个软件,结果就给感染了。

  • TOP3
    ghost-jason
    Rank: 2
    2019-12-21 10:19

    你这朋友太。。。。。自己被全盘感染了。还能开发么。换是感染之前就已经开发出来了。既然感染之前就开发出来了请问。他的所有盘的exe文件都被感染了图标变了。他竟然毫无察觉。这话你信么

  • TOP4
    Tender
    Rank: 2
    2019-12-20 15:37

    客观角度来说,也可能是开发环境造成的感染此病毒,有次有个朋友给我工具,致使我全盘感染,后来发现病毒,去溯源才排查到原因,出处。

  • TOP5
    Knife
    Rank: 1
    2019-12-20 14:29

    建议抓捕归案 好好教育一下

  • 74楼
    tonyc
    Rank: 1
    2020-4-1 16:01

    给tools团队点赞,大快人心

  • 73楼
    gao409115900
    Rank: 1
    2020-3-17 16:49

    这种情况必须严管

  • 72楼
    aa307080
    Rank: 1
    2020-1-8 16:40

    就怕这种人。 回复|@ta|踩(3)|顶(12)

  • 71楼
    lalabear
    Rank: 2
    2019-12-31 13:57

    子域查询其实满多工具可以用的,.exe尽量别用比较安全

  • 70楼
    handsomeone
    Rank: 1
    2019-12-31 10:28

    下载的东西现在虚拟机跑一下比较保险

  • 69楼
    lguang16
    Rank: 1
    2019-12-28 20:13

    幸好我没下载……

  • 68楼
    D0oler
    Rank: 1
    2019-12-28 17:33

    支持严抓拷打这种

  • 67楼
    Anonymous
    Rank: 1
    2019-12-26 21:38

    支持支持,不支持洗地

  • 66楼
    不是我干的
    Rank: 2
    2019-12-26 18:28

    居然有一个打赏给这人洗地的。自己写的软件,捆绑木马上传上来坑人。洗你马呢,同一个人吧

  • 65楼
    chengyinwangluo
    Rank: 1
    2019-12-26 10:02

    刚才去看了一波源码,好吧,源码里面好像没有捆绑啥恶意代码,代码也没有隐藏着啥dll文件,至于模块中有没有而已的代码就不知道了,不过就看了旁站查询那个,至于exe为啥还会被感染就不清楚了 会易的可以看看

  • 64楼
    chengyinwangluo
    Rank: 1
    2019-12-26 09:34

    我去,我下载了源码,现在只是执行了源码,不知道源码里面有没有被感染了

  • 63楼
    eva_cw
    Rank: 1
    2019-12-25 00:45

    难道自己都不测毒的吗。。

  • 62楼
    aldys4
    Rank: 1
    2019-12-24 22:03
    Anonymous

    这个楼主是我朋友哈,他应该是环境被感染了,这个小伙子人品我相信的,还没成年呢,哪来的那些心机搞后门之前他发工具都是放源码的,这次他说是在学校编译的,编译的时候不小心下了个软件,结果就给感染了。

    1

    这哥们用的易语言编译的项目,估计是下载了有毒的插件,编译的时候插件把后门捆绑进项目了,所以说易语言不能用,,,

  • 61楼
    G0mini
    Rank: 2
    2019-12-24 15:58

    tools的工具太让人放心了。支持。

  • 60楼
    gcz1992
    Rank: 2
    2019-12-24 14:03

    能看出来作者应该不是故意的,但是身为一个安全人士,自己的安全都没保护好,确实说不过去

  • 59楼
    ba1maooo
    Rank: 1
    2019-12-23 16:46

    额 几天前下载的 还没来得及用就看到有后门了。。。?

  • 58楼
    transform
    Rank: 1
    2019-12-23 10:09

    这种东西我一般都在虚拟机里面运行,然后在定期恢复快照,虽然麻烦点,但是安全xi数贼高

  • 57楼
    990128987
    Rank: 1
    2019-12-23 09:59

    开发环境打包的时候感染几率不是很大吧..

  • 56楼
    zijie666
    Rank: 2
    2019-12-23 09:30

    我以后看见exe就慌了,xi望对发布这种工具的进行审核再通过,我朋友前几天刚跟我说他全盘感染了。

  • 55楼
    twosmi1e
    Rank: 1
    2019-12-23 09:16

    估计自己开发环境被感染了吧 开源不会搞这些的