吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 37992|回复: 105
收起左侧

[PC样本分析] 易语言破解版捆绑窃取用户源码 自动上传至服务器

  [复制链接]
Time丨Brand 发表于 2019-5-19 14:07
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Time丨Brand 于 2019-5-19 14:28 编辑

前言
  本人萌新一枚,在本版第一次发帖,可能有点水,还请各位大佬多多关照。


基本信息

  文件名称: 易语言5.8 内置多种插件 支持黑月编译.7z
  文件大小: 223097 KB ( 217 MB)
  文件MD5 校验值:4B3E3C303284D2BB8773F959A4C42DA7
  文件SHA1 校验值:c6885a864ef3b28c5879b799a6b82e78f301c7b8


简介

  1、打开易语言源程序后,窃取用户源码,自动上传至 FTP 服务器。
  2、易语言运行后CPU占用50%左右,疑似挖矿病毒或在收集用户磁盘信息,本人技术有限,暂不对此研究,在此抛砖引玉,向各位大佬学习。


被感染系统及网络症状

  1、打开易语言源码后,杀毒软件网络连接监控软件中,易语言进程包含21号端口的网络连接,且存在上传流量异常。
  2、易语言运行后CPU占用异常,始终占用50%左右。
  3、样图:
       Snipaste_2019-05-19_13-32-32.png

       Snipaste_2019-05-19_13-34-00.png


网络症状

  每次打开易语言源码后,建立网络连接 188.131.235.100:21,将用户源码上传至FTP服务器。


详细分析

  1、打开 Wireshark 抓包软件,开始抓包。
  2、使用此样本,随便打开一个易语言源码,遂即出现与服务器建立的相关链接。
         3.png
  3、追踪TCP流,获得上传的FTP服务器账户信息。
       4.png
  4、使用FTP客户端成功登录,发现目录空白,随便上传一个文件,上传成功,但刷新后又是空白。
        由此可知服务器限制了此账号的访问权限,接着就没怎么研究,欢迎各位大佬继续跟进。


相关服务器信息分析

  窃取源码的FTP服务器信息,该账号只有上传权限,不能修改删除:
    主机名:188.131.235.100
    端口:21
    用户名:FtpUser
    密码:qazxswpanzer


预防及修复措施

  1、删除此易语言版本的相关目录。
  2、杀毒软件查杀。


技术热点及总结

  1、大家还是谨慎下载网络论坛上的编程、服务器连接、FTP工具等,最好从官网下载。
  2、遇到防火墙网络连接提醒,谨慎给予相关权限。
  3、使用正版软件。


样本下载

  链接:https://pan.baidu.com/s/1ywfeiWb4x9ygZhynx4Kx4Q 提取码:i34y
  解压密码:52pojie

免费评分

参与人数 21吾爱币 +25 热心值 +17 收起 理由
正之名 + 1 + 1 热心回复!
chouzhibow + 1 + 1 我很赞同
lz9506 + 1 + 1 谢谢@Thanks!
gongjiankk + 1 用心讨论,共获提升!
魂牵梦绕ゝ + 1 + 1 谢谢@Thanks!
wapj314159 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
昆局水段 + 1 + 1 谢谢@Thanks!
寒枫雨雪 + 1 + 1 谢谢@Thanks!
天下一家 + 1 + 1 热心回复!
Ravey + 1 用心讨论,共获提升!
灵之约 + 1 + 1 啥也不说,评分就是给。还是用5.8以下吧
yumo123 + 1 楼下准备笑死我 然后继承我的蚂蚁花呗吗?
JuncoJet + 1 + 1 以毒攻毒,请上传蠕虫源码
skiss + 1 + 1 用心讨论,共获提升!
willJ + 6 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
xiasi998 + 1 + 1 用心讨论,共获提升!
drakpj + 1 + 1 热心回复!
hongge + 1 热心回复!
Fan.s + 1 鼓励转贴优秀软件安全工具和文档!
Runboy + 1 + 1 我很赞同!
lomgas + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

youngzhongjie 发表于 2019-5-19 18:41
我刚刚用公司的100M上行专线,上传了xp,win7,win8,win10,server2008-2019,还有其他几乎所有Linux系统的iso文件

免费评分

参与人数 3吾爱币 +3 热心值 +2 收起 理由
mlgmxyysd + 1 我很赞同!
lishenping8 + 1 + 1 你应该上传葫芦娃的,哈哈
dadaguaia + 1 + 1 我很赞同!

查看全部评分

总差一点点 发表于 2019-5-19 19:27
我来补充个
查询此ip为腾讯云的,应该可以举报吧,哈哈哈
QQ20190519-191949.png
另外百度搜索FTP的密码"qazxswpanzer"
发现了一个和密码一样的百度ID,恰好问题问的也是易语言~
https://zhidao.baidu.com/question/371162427.html
QQ20190519-192114.png

点评

@神の心痛 这木马你写的?  详情 回复 发表于 2019-5-20 10:18
JemmyloveJenny 发表于 2019-5-19 18:16
想要搞他的话,可以给他FTP里面上传垃圾嘛……
多几个人一起上传能把他的带宽全部占完
我上传了一个Win10的ISO
青鸾火凤 发表于 2019-5-19 14:22
咱也不敢问,咱也不敢说,咱不让它联网就行了
QQ截图20190519142136.png
fjqisba 发表于 2019-5-19 15:10
下载了程序大致看了看,很简单。
易语言会检索lib目录下的文件并加载,目录下有一个lib.dll。
111.png

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
Hmily + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

初音未来 发表于 2019-5-19 20:52
本帖最后由 初音未来 于 2019-5-19 21:10 编辑
总差一点点 发表于 2019-5-19 19:27
我来补充个
查询此ip为腾讯云的,应该可以举报吧,哈哈哈

手机号17631637556查出来了,可以塞进轰炸机
Screenshot_2019-05-19-21-10-15-298_com.tencent.mo.png
三片叶子的小草 发表于 2019-5-20 10:21
本帖最后由 三片叶子的小草 于 2019-5-20 10:36 编辑

既然你们都上传ISO ,那我就上传PS吧,希望他能做个好看的UI
Hmily 发表于 2019-5-20 10:18
总差一点点 发表于 2019-5-19 19:27
我来补充个
查询此ip为腾讯云的,应该可以举报吧,哈哈哈

@神の心痛 这木马你写的?
fnp902003 发表于 2019-5-19 15:26
外面那些野生破解,各种问题.不敢用啊.
deepbreathe 发表于 2019-5-19 14:17
我都把52当资源集散地了。软件用的放到少。
Su、 发表于 2019-5-19 14:26
下载的非官方的破解版怪起正版的来了
TIM截图20190519142513.png
 楼主| Time丨Brand 发表于 2019-5-19 14:29
Su、 发表于 2019-5-19 14:26
下载的非官方的破解版怪起正版的来了

我的锅,帖子标题没写清楚,改了
Raohz520 发表于 2019-5-19 15:00
你让我恐慌了起来,幸好我不怎么会写程序!
ralf 发表于 2019-5-19 15:08
呵呵 我也比较喜欢玩红警,80后的记忆。
alicc 发表于 2019-5-19 15:11
我很好奇你们那里下载的
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 18:45

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表