-
-
[原创]警惕!有远控木马伪装成“Telegarm语言包安装程序”
-
发表于:
2022-3-7 22:41
6818
-
[原创]警惕!有远控木马伪装成“Telegarm语言包安装程序”
近日,本人捕获到有远控木马伪装成“Telegarm语言包安装程序”进行传播
本文时间仓促,将不再贴入分析过程,请见谅
样本1:
原本文件名:点击此处安装语言包.exe
MD5:93b207aa5b08f304f7d4a72615d25b36
SHA-1:586f40ad9541911661ee6ce47dcd0e30d0e2f38b
SHA-256:2b59c310cc7fb48925ccffec879fdeec5c746d8c3b61ce86791393d3379378cb
病毒传播链接:hxxp://zhcn-telegarm.com/%E7%82%B9%E5%87%BB%E6%AD%A4%E5%A4%84%E5%AE%89%E8%A3%85%E8%AF%AD%E8%A8%80%E5%8C%85.exe
分析结论:远控病毒
远控服务器:dabaicaicca.com(连接方式:45.125.217.19:8000 TCP)
样本2(免杀):
原本文件名:点击安装Telegram-简体中文语言包.com/点击安装Telegram-简体中文语言包.exe/zh-cnv4.exe
MD5:e0fb1733a8658458593f41a198c73c3f
SHA-1:fa9cbe9efe87a360b3775a44e6d35a157b8e9622
SHA-256:c9505c96e7b3a732b1fa3c71e9fe303a7016355dac2a9d63dd6be29f79f2fca7
分析结论:恶意软件
病毒C&C服务器信息:
hxxp://zhcn-telegarm.com/(IP:185.224.170.117)
hxxp://dabaicaicca.com/(IP:45.125.217.19)
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课