今天在贴吧的病毒吧看到了一个24年的帖子,标题是“观看B站视频特定情况时会触发卡巴斯基报毒”。于是就借着AI来分析了一下这个情况。
我不太会使用这个编辑,可能排版啥的看着不舒服,还请大家见谅!下去后我去学习学习怎么排版
视频连接https://www.bilibili.com/video/BV1sx411C75U/?
访问后卡巴会拦截下载
[Asm] 纯文本查看 复制代码 事件: 下载被拒绝
用户: LAPTOP-0VPR0GU9
用户类型: 发起者
应用程序名称: chrome.exe
应用程序路径: C:\Program Files\Google\Chrome\Application
组件: 安全浏览
结果描述: 已阻止
类型: 木马
名称: HEUR:Trojan.BAT.KillProc.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: seg.so?type=1&oid=14940328&pid=9044992&segment_index=1&pull_mode=1&ps=0&pe=120000&web_location=1315873&w_rid=21abbb147f30afdf51d3098114660d1e&wts=1784091768
对象路径: https://api.bilibili.com/x/v2/dm/wbi/web
对象的 MD5: 31C8DA1CD9C0E131DCD96C5BD54A9B04
原因: 专家分析
数据库发布日期: 今天,2026/7/15 12:07:00
对象叫seg.so,是B站的protobuf二进制弹幕包,而.so文件是动态共享库,一些木马病毒会使用恶意so库实现隐藏进程、窃取数据,再加上这段超长,很多特殊符号的URL参数,正中了卡巴的启发式引擎判定。我们继续看看这个文件里都有什么。在该视频网页打开F12,勾选保留日志和停用缓存功能,使用Ctrl+Shift+R刷新,在上面搜索框里搜索“seg.so”就可以看到两个文件。!操作前记得关闭杀软! 否则会被拦截状态码全部返回499!
选中其中一个->复制->以cURL(cmd)格式复制,内容如下
[Bash shell] 纯文本查看 复制代码 curl 'https://api.bilibili.com/x/v2/dm/wbi/web/seg.so?type=1&oid=14940328&pid=9044992&segment_index=1&pull_mode=1&ps=0&pe=120000&web_location=1315873&w_rid=efd0d0e3515ea452fc2bd0f222b59a4d&wts=1784092083' \
-H 'accept: application/json, text/plain, */*' \
-H 'accept-language: zh-CN,zh;q=0.9' \
-H 'cache-control: no-cache' \
-b $'enable_web_push=DISABLE; buvid4=xxxxxx; theme-tip-show=SHOWED; theme-switch-show=SHOWED; blackside_state=0; CURRENT_BLACKGAP=0; buvid3=xxxxxx; b_nut=xxxxxx; _uuid=xxxxxx; rpdid=xxxxxx; buvid_fp=xxxxxx; SESSDATA=xxxxxx; bili_jct=xxxxxx; DedeUserID=xxxxxx; DedeUserID__ckMd5=xxxxxx; historyviewmode=grid; fingerprint=xxxxxx; CURRENT_LANGUAGE=; LIVE_BUVID=xxxxxx; theme_style=light; theme-avatar-tip-show=SHOWED; ogv_device_support_dolby=0; ogv_device_support_hdr=0; CURRENT_QUALITY=120; bili_ticket=xxxxxx; bili_ticket_expires=xxxxxx; home_feed_column=5; browser_resolution=xxxxxx; bsource=search_baidu; CURRENT_FNVAL=4048; sid=xxxxxx; bp_t_offset_xxxxxx=xxxxxx; b_lsid=xxxxxx' \
-H 'dnt: 1' \
-H 'origin: https://www.bilibili.com' \
-H 'pragma: no-cache' \
-H 'priority: u=1, i' \
-H 'referer: https://www.bilibili.com/video/BV1sx411C75U/?' \
-H 'sec-ch-ua: "Not;A=Brand";v="8", "Chromium";v="150", "Google Chrome";v="150"' \
-H 'sec-ch-ua-mobile: ?0' \
-H 'sec-ch-ua-platform: "Windows"' \
-H 'sec-fetch-dest: empty' \
-H 'sec-fetch-mode: cors' \
-H 'sec-fetch-site: same-site' \
-H 'sec-gpc: 1' \
-H 'user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/150.0.0.0 Safari/537.36'
可以确认是该视频分片内全部弹幕原始二进制数据。
[Asm] 纯文本查看 复制代码 ps=0&pe=120000:代表拉取0~120000 毫秒区间的所有弹幕
返回头 Content-Type: application/octet-stream,是二进制弹幕包
弹幕出现时间、文字内容、字号、颜色、弹幕位置(顶部 / 底部 / 滚动)
发送者 UID、弹幕 ID、弹幕类型、是否会员弹幕、是否保护弹幕等
segment_index=1:当前是第 1 个弹幕分片,长视频会分多段加载;
pull_mode=1:网页常规拉取模式;
w_rid + wts:B 站 WBI 签名与时戳,用来校验本次请求合法性,防止非法爬虫;
web_location:前端页面来源标记,用于 B 站后台统计播放来源。
现在来保存一下这个bin文件,看看里面到底是什么。右键其中一个,选择在新标签页中打开,就会自动下载这个文件了。下载好后先用010看一下。
下面是其中的一点数据,根据文件头可以看出这就是标准的protobuf数据,
[Asm] 纯文本查看 复制代码 0A 54 08 BE EE E2 BD 0B 10 EA 07 18 01 20 19 28
FF FF FF 07 32 08 35 37 33 66 33 65 66 31 3A 0C
E6 8E 80 E9 A6 86 E8 80 8C E8 B5 B7 40 E5 8F 83
C6 05 48 09 62 0A 33 30 38 32 33 33 36 30 36 32
78 05 A2 01 01 30 AA 01 01 30 C8 01 01 D0 01 A8
F1 8F 07 D8 01 01 0A 58 08 84 E2 E9 BD 0B 10 B0
F1 02 18 01 20 19 28 FF FF FF 07 32 08 35 34 65
65 38 37 38 64 3A 11 E8 BF 99 70 76 E5 A5 BD E6
A3 92 EF BC 81 EF BC 81 40 AF AC 83 C6 05 48 03
62 0A 33 30 38 32 34 34 39 31 35 36 A2 01 01 30
AA 01 01 30 C8 01 01 D0 01 A8 F1 8F 07 D8 01 01
0A 4D 08 F8 D0 96 BE 0B 10 BB 8B 03 18 01 20 19
28 FF FF FF 07 32 08 39 63 33 33 35 34 39 32 3A
06 E5 BE 88 E6 A3 92 40 F2 B5 84 C6 05 48 02 62
0A 33 30 38 33 31 38 34 32 34 38 A2 01 01 30 AA
01 01 30 C8 01 01 D0 01 A8 F1 8F 07 D8 01 01 0A
50 08 FC FC 91 C0 0B 10 D0 9B 01 18 01 20 19 28
FF FF FF 07 32 08 64 36 32 63 61 36 33 34 3A 09
E5 A5 BD E5 A5 BD E5 A5 BD 40 E3 E7 8A C6 05 48
03 62 0A 33 30 38 37 33 30 32 32 36 38 A2 01 01
30 AA 01 01 30 C8 01 01 D0 01 A8 F1 8F 07 D8 01
01 0A 5E 08 A0 C0 F1 C0 0B 10 C5 8B 03 18 01 20
19 28 FF FF FF 07 32 08 66 64 34 36 62 36 39 64
3A 15 E6 8E 80 E8 B5 B7 E4 BA 86 E6 88 91 E7 9A
84 E6 A3 BA E6 9D 90 40 FD D5 8D C6 05 48 03 62
0A 33 30 38 38 38 36 37 33 36 30 78 01 A2 01 01
我让AI给我写了个提取内容转文字的网页,效果如下
最后我把该网页两个seg.so文本内容都导出后发现并没有什么恶意代码啥的。大概率是卡巴误报。
搞笑的是这个视频右侧就有弹幕内容。。。
两个文件的沙箱检测结果如下:
seg.so微步云沙箱检测结果
seg.so(1)微步云沙箱检测结果
seg.so VT检测结果seg.so(1) VT检测结果
所以,这个基本上就是卡巴误报了。17年发布的视频,252万的播放,如果真是病毒,B站估计早就清理了。
样本,密码是52pojie
|