首页
社区
课程
招聘
[原创]警惕!有远控木马伪装成“Telegarm语言包安装程序”
发表于: 2022-3-7 22:41 6934

[原创]警惕!有远控木马伪装成“Telegarm语言包安装程序”

2022-3-7 22:41
6934

近日,本人捕获到有远控木马伪装成“Telegarm语言包安装程序”进行传播

 

本文时间仓促,将不再贴入分析过程,请见谅

 

样本1:
原本文件名:点击此处安装语言包.exe
MD5:93b207aa5b08f304f7d4a72615d25b36
SHA-1:586f40ad9541911661ee6ce47dcd0e30d0e2f38b
SHA-256:2b59c310cc7fb48925ccffec879fdeec5c746d8c3b61ce86791393d3379378cb
病毒传播链接:hxxp://zhcn-telegarm.com/%E7%82%B9%E5%87%BB%E6%AD%A4%E5%A4%84%E5%AE%89%E8%A3%85%E8%AF%AD%E8%A8%80%E5%8C%85.exe
分析结论:远控病毒
远控服务器:dabaicaicca.com(连接方式:45.125.217.19:8000 TCP)

 

样本2(免杀):
原本文件名:点击安装Telegram-简体中文语言包.com/点击安装Telegram-简体中文语言包.exe/zh-cnv4.exe
MD5:e0fb1733a8658458593f41a198c73c3f
SHA-1:fa9cbe9efe87a360b3775a44e6d35a157b8e9622
SHA-256:c9505c96e7b3a732b1fa3c71e9fe303a7016355dac2a9d63dd6be29f79f2fca7
分析结论:恶意软件

 

病毒C&C服务器信息:
hxxp://zhcn-telegarm.com/(IP:185.224.170.117)
hxxp://dabaicaicca.com/(IP:45.125.217.19)


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 1
支持
分享
最新回复 (2)
雪    币: 1002
活跃值: (1304)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
exe后缀就算了,tg的语言包后缀也不是exe的
2022-3-8 00:03
0
雪    币: 14
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
3

针对“Telegarm语言包安装程序”远控木马的持续追踪


在上一篇追踪报道发出后

今日,本人发现病毒的原远控服务器dabaicaicca.com的IP地址由45.125.217.19更换为了45.125.217.45,IP段相同

通过对45.125.217.45的挖掘,查询威胁情报发现,该IP曾绑定域名dabaicaijja.com,

查询dabaicaijja.com的威胁情报,本人发现了更多的样本,不过文件名称均未伪装成“Telegarm语言包安装程序”,文件名很散乱,但是确实都是木马程序和远控木马,并且存在强烈的同源性,样本恶意行为基本一致继续挖掘,又发现了dabaicaiffa.com同样既绑定了IP 45.125.217.45,也曾绑定过IP 45.125.217.19

通过挖掘dabaicaiffa.com,又发现了高度同源恶意样本情报


进一步对45.125.217.45发现的样本进行挖掘,发现该病毒制作者曾用过同样的手法,同样是仿冒国外的社交软件——Potato:以样本11902186062ef9a19ab030eeb5159c15420a20136843fae715fe9a0e443a6331为例,我们发现样本同时连接45.125.217.45和另一个IP地址103.98.112.54,并且尝试下载hxxp://103.98.112.54/Potato.txt (疑似已挂)。样本运行后图片如下图所示:


Ioc:

dabaicaijja.com

dabaicaicca.com

dabaicaijja.com

103.98.112.54

45.125.217.19

45.125.217.45

2022-3-8 22:47
0
游客
登录 | 注册 方可回帖
返回
//