对发布携带后门工具的会员 lonely666 永久BanID处理

2019-12-20 13:55:49 74 10338 6


对发布携带后门工具的会员 lonely666 永久BanID处理

经论坛管理团队检测,发现该帖发布的工具“Incandescent 白炽V1.0.zip”捆绑木马
https://www.t00ls.com/thread-54341-1-1.html


执行后自动感染全盘所有exe文件,并替换exe文件的图标为“Incandescent 白炽V1.0”相同图标,执行被感染的exe(如命令行工具)后会新开一个cmd窗口执行"._cache_原exe名.exe"
微步在线沙盒分析报告地址
https://s.threatbook.cn/report/file/8db8d56a6ffe4e959fdb62d39191aff1d627193faf879ca53894736f26110669/?env=win7_sp1_enx86_office2013

检出的木马下载插件地址:
    https://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1
    https://www.dropbox.com/s/n1w4p8gc6jzo0sg/SUpdate.ini?dl=1
    http://xred.site50.net/syn/SSLLibrary.dll
    https://docs.google.com/uc?id=0BxsMXGfPIZfSTmlVYkxhSDg5TzQ
    https://docs.google.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk
    http://xred.site50.net/syn/SUpdate.ini
    https://www.dropbox.com/s/fzj752whr3ontsm/SSLLibrary.dll?dl=1
    https://docs.google.com/uc?id=0BxsMXGfPIZfSVlVsOGlEVGxuZVk
    http://xred.site50.net/syn/Synaptics.rar

部分地址已经失效

以下是部分网上的分析工具截图

会下载该dll加载:


如图是上线地址:




根据T00ls总规则

如果非原创,必须自己确认无毒无后门,若发布带毒带后门工具软件,直接封号,不管有意无意。



故对会员lonely666 进行永久banID处理
类别 官方公告

关于作者

t00ls管理团队18661篇文章869篇回复

t00ls管理团队18
74

评论74次

要评论?请先  登录  或  注册
  • TOP1
    纯洁小白
    Rank: 2
    2019-12-20 14:27

    对待这种恶意传播后门的人 建议管理公布其 邮箱地址 和常用的登录IP

  • TOP2
    Anonymous
    Rank: 1
    2019-12-20 21:57

    这个楼主是我朋友哈,他应该是环境被感染了,这个小伙子人品我相信的,还没成年呢,哪来的那些心机搞后门之前他发工具都是放源码的,这次他说是在学校编译的,编译的时候不小心下了个软件,结果就给感染了。

  • TOP3
    ghost-jason
    Rank: 2
    2019-12-21 10:19

    你这朋友太。。。。。自己被全盘感染了。还能开发么。换是感染之前就已经开发出来了。既然感染之前就开发出来了请问。他的所有盘的exe文件都被感染了图标变了。他竟然毫无察觉。这话你信么

  • TOP4
    Tender
    Rank: 2
    2019-12-20 15:37

    客观角度来说,也可能是开发环境造成的感染此病毒,有次有个朋友给我工具,致使我全盘感染,后来发现病毒,去溯源才排查到原因,出处。

  • TOP5
    Knife
    Rank: 1
    2019-12-20 14:29

    建议抓捕归案 好好教育一下

  • 54楼
    ice_age
    Rank: 1
    2019-12-23 08:57

    虚拟机才是王道

  • 53楼
    xiumu
    Rank: 1
    2019-12-22 16:06

    t00ls大佬这么多都敢放后门胆子真是大了

  • 52楼
    heihu577
    Rank: 1
    2019-12-22 09:43

    哇。。。当时我下载了这个工具好像。。。存入到网盘里了。。。现在得去删一波了 这样的会员真是无语了说

  • 51楼
    赵振天
    Rank: 1
    2019-12-22 07:48
    纯洁小白

    对待这种恶意传播后门的人 建议管理公布其 邮箱地址 和常用的登录IP

    1

    IP也没啥用啊,个人用户的IP都是动态的。邮箱还是有点用的

  • 50楼
    Otenc
    Rank: 1
    2019-12-22 00:25

    看到exe就有点怕

  • 49楼
    1og1n
    Rank: 2
    2019-12-21 23:21

    被感染了,还好是在虚拟机。

  • 48楼
    faith
    Rank: 2
    2019-12-21 20:37

    幸好没点开,不然损失贼大

  • 47楼
    Anonymous
    Rank: 2
    2019-12-21 15:42

    还好我没下载 这种恶意捆绑后门的登录的所以ip都该被封 邮件啥的也该被封

  • 46楼
    mtjbyddzqfwdyy
    Rank: 2
    2019-12-21 15:22

    我心里一紧啊。 万幸,我对这样的工具不感冒。 。。。。 我的数据,看起来以后干什么都不能怕麻烦,虚拟机运行是王道!

  • 45楼
    littleheary
    Rank: 1
    2019-12-21 14:16

    我下载了,所辛还没执行,万幸万幸。速度本地清除

  • 44楼
    lovexiaohui
    Rank: 2
    2019-12-21 14:13

    建议分享前确认一下。

  • 43楼
    yzddMr6s
    Rank: 1
    2019-12-21 13:08

    woc,还好自己下载了只是解压了没点开

  • 42楼
    xunfeng
    Rank: 1
    2019-12-21 10:43

    还好看了一下,比较忙没有下载尝试

  • 41楼
    糙汉man
    Rank: 2
    2019-12-21 10:43

    还好这个东西我没下 在线的这么多 脚本这么多 难道不香么 还有像这种工具我都会在沙箱中运行

  • 40楼
    ghost-jason
    Rank: 2
    2019-12-21 10:29
    mrfool

    为什么我感觉有可能是开发环境被感染导致的看那个老哥好像把源码都发出来应该不会做这么蠢的事吧

    1

    发布源码谁换敢把带毒的带后门的发出来不明摆着找死么。。。。。

  • 39楼
    ghost-jason
    Rank: 2
    2019-12-21 10:19
    Anonymous

    这个楼主是我朋友哈,他应该是环境被感染了,这个小伙子人品我相信的,还没成年呢,哪来的那些心机搞后门之前他发工具都是放源码的,这次他说是在学校编译的,编译的时候不小心下了个软件,结果就给感染了。

    1

    你这朋友太。。。。。自己被全盘感染了。还能开发么。换是感染之前就已经开发出来了。既然感染之前就开发出来了请问。他的所有盘的exe文件都被感染了图标变了。他竟然毫无察觉。这话你信么

  • 38楼
    ptvip
    Rank: 2
    2019-12-21 01:14

    又是这个人 不知道是不是故意的 上次我就中招了 全盘感染太惨了 杀了两天两夜啊 https://www.t00ls.com/viewthread.php?tid=53114&rpid=880362&ordertype=0&page=5#pid880362

  • 37楼
    iceword
    Rank: 1
    2019-12-21 00:43

    还好没时间,还没得及来研究这个,要不然岂不是也要凉

  • 36楼
    leishao1
    Rank: 1
    2019-12-20 23:10

    本地被感染了,群里说啦

  • 35楼
    now55555
    Rank: 2
    2019-12-20 23:08

    完蛋了,我全盘感染了,没想到会有人在T00ls发全盘感染的马。 这也太坏了吧