Telegram のグループチャットで見かけた木馬プログラムは、直接的には exe ソフトウェアを含んだ圧縮ファイルです。以前見た木馬プログラムとは異なり、これらのファイルを見たほとんどの人は木馬ファイルだとわかるでしょうが、誘惑に負けてクリックする人や単純な友人もいます。
また、この人の情報を調べたところ、彼は大会員に登録しており、個人の説明には支払い先のアドレスが変更されていることが記載されています。お金を送る前に必ず確認してください。おそらく、このプログラムによってアカウントが乗っ取られた友人の可能性があります。
木馬のサンプル:Google ドライブ
ハボ分析:https://habo.qq.com/file/showdetail?pk=ADcGb11qB2cIOVs6U2I%3D
Kaspersky(カスペルスキー):https://opentip.kaspersky.com/C667BE786A5A67A74331E1FA7E2CEF2BC33B55739AD31B5456A3697623C6BACF/results?tab=upload
上のスクリーンショットから、これは間違いなく木馬ファイルであることがわかります。最も重要な機能は、電子的な方法でユーザーの活動を監視し(キーボード入力の傍受、スクリーンショットの取得、アクティブなアプリケーションのリストのキャプチャなど)、収集した情報をさまざまな方法でハッカーに送信し、プログラムが検出されないようにし、コンピュータのファイルを完全に制御します。
しかし、このプログラムは、ウイルス対策ソフトウェアで検出されるはずだと思います。私は火绒セキュリティでスキャンしたところ、危険が検出されました!
それから、仮想マシンを起動してこのソフトウェアのアクティビティ範囲をキャプチャしましたが、技術には詳しくないので笑わないでください。
まず、ソフトウェアを開くと何も表示されず、バックグラウンドでしばらく実行された後に閉じられます。この時、note.youdao.com:443 と bucket-ynote-online-cdn.note.youdao.com:443 にリクエストが送信されます。
私は clash for windows の tun モードを使用していますが、clash クライアントで確認しました。
自分の IP が漏れないようにするためであり、仮想マシンでシステムプロキシを設定しても適用されない可能性があるためです。
その後、ポップアップウィンドウが表示されますが、その用途はわかりません。ユーザーディレクトリに exe ファイルが生成されます。
私はこの exe ファイルを Kaspersky(カスペルスキー)にアップロードしましたが、何の問題も見つかりませんでした!
そして、このプログラムは常に 2 つのアドレスにリクエストを送信します。38.45.120.226:7076 と jlbhm.one:5688 です。私はこのドメインが最近登録されたことを調べました。
また、jlbhm.one ドメインは解決されておらず、38.45.120.226:7076 は常に接続中であり、jlbhm.one:5688 は接続して切断し、再び接続します。
私はウェブマスターツールを使用してこの IP を ping しました:https://ping.chinaz.com/38.45.120.226 結果はどうだと思いますか?
IP は中国香港の Cogent を示しており、私はこの 38 で始まる IP にとても馴染みがあることに気づきました。考えてみると、以前に YouTube で香港の cmi サーバーを推薦されたことがあり、その時に 38 で始まる IP を購入したことを思い出しました。基本的に、彼らの香港の cmi も 38 で始まる IP であり、ウェブマスターツールで ping しても中国香港の Cogent でした。
このウェブマスターの連絡先を見つけて、次の内容を問い合わせました:
以上で、この件は終了です。私はこれらのことに詳しくないし、久しぶりにいじくり回してブログも久しぶりに更新していなかったので、ちょっといじくってみただけです。