对发布携带后门工具的会员 lonely666 永久BanID处理
对发布携带后门工具的会员 lonely666 永久BanID处理
经论坛管理团队检测,发现该帖发布的工具“Incandescent 白炽V1.0.zip”捆绑木马
https://www.t00ls.com/thread-54341-1-1.html
执行后自动感染全盘所有exe文件,并替换exe文件的图标为“Incandescent 白炽V1.0”相同图标,执行被感染的exe(如命令行工具)后会新开一个cmd窗口执行"._cache_原exe名.exe"
微步在线沙盒分析报告地址
https://s.threatbook.cn/report/file/8db8d56a6ffe4e959fdb62d39191aff1d627193faf879ca53894736f26110669/?env=win7_sp1_enx86_office2013
检出的木马下载插件地址:
https://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1
https://www.dropbox.com/s/n1w4p8gc6jzo0sg/SUpdate.ini?dl=1
http://xred.site50.net/syn/SSLLibrary.dll
https://docs.google.com/uc?id=0BxsMXGfPIZfSTmlVYkxhSDg5TzQ
https://docs.google.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk
http://xred.site50.net/syn/SUpdate.ini
https://www.dropbox.com/s/fzj752whr3ontsm/SSLLibrary.dll?dl=1
https://docs.google.com/uc?id=0BxsMXGfPIZfSVlVsOGlEVGxuZVk
http://xred.site50.net/syn/Synaptics.rar
部分地址已经失效
以下是部分网上的分析工具截图
会下载该dll加载:
如图是上线地址:
根据T00ls总规则:
如果非原创,必须自己确认无毒无后门,若发布带毒带后门工具软件,直接封号,不管有意无意。
故对会员lonely666 进行永久banID处理
关于作者
评论74次
对待这种恶意传播后门的人 建议管理公布其 邮箱地址 和常用的登录IP
这个楼主是我朋友哈,他应该是环境被感染了,这个小伙子人品我相信的,还没成年呢,哪来的那些心机搞后门之前他发工具都是放源码的,这次他说是在学校编译的,编译的时候不小心下了个软件,结果就给感染了。
你这朋友太。。。。。自己被全盘感染了。还能开发么。换是感染之前就已经开发出来了。既然感染之前就开发出来了请问。他的所有盘的exe文件都被感染了图标变了。他竟然毫无察觉。这话你信么
客观角度来说,也可能是开发环境造成的感染此病毒,有次有个朋友给我工具,致使我全盘感染,后来发现病毒,去溯源才排查到原因,出处。
建议抓捕归案 好好教育一下
t00ls里大佬这么多,还敢放后门
这个楼主是我朋友哈,他应该是环境被感染了,这个小伙子人品我相信的,还没成年呢,哪来的那些心机搞后门之前他发工具都是放源码的,这次他说是在学校编译的,编译的时候不小心下了个软件,结果就给感染了。
"如果非原创,必须自己确认无毒无后门,若发布带毒带后门工具软件,直接封号,不管有意无意。"无论有意无意,还是要按规定处理。
这个全盘感染,我估计他自己也不知道,自己也中招了。
这个楼主是我朋友哈,他应该是环境被感染了,这个小伙子人品我相信的,还没成年呢,哪来的那些心机搞后门 之前他发工具都是放源码的,这次他说是在学校编译的,编译的时候不小心下了个软件,结果就给感染了。
还是小心点,放虚拟机跑跑还行
真的恶心人,这种
从来不用非官方的执行程序,除非开源的,非要用的话就在虚拟机里面,小心点好些。
幸好他那工具我看不上,没下,太邪恶了
这种垃圾太恶毒了
所以ta到底想干嘛→_→黑吃黑也不用这样呀
幸亏当时没下载,保险起见,以后都搁虚拟机里吧。
这孩子不是发了源码么 看看源码里有恶意内容没有 没的话那就是被感染了
对于这种行为,坚决维护吐司,把这人清理出去
感觉应该是模块或者他自己被感染了,他也公开了源码,我简单看了下,好像没毛病。
感觉不太好,得要留心眼了。
woc、看样子我上线了
在吐司发工具也敢带后门。。。胆子可真大。。必须严肃处理!
... 也有可能是易语言模块的问题
t00ls大佬这么多 都敢放后门 胆子真是大了
都是安全圈的,有些人总想的搞一波事情,体现自己所谓的“优越”