[原创]警惕！有远控木马伪装成“Telegarm语言包安装程序”-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
梦初雪雪币： 988 活跃值： (1289) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 1 关注私信	梦初雪 2022-3-8 00:03 2 楼 0 exe后缀就算了，tg的语言包后缀也不是exe的
wwwabc 雪币： 14 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 2 粉丝 0 关注私信	wwwabc 2022-3-8 22:47 3 楼 0 针对“Telegarm语言包安装程序”远控木马的持续追踪在上一篇追踪报道发出后今日，本人发现病毒的原远控服务器dabaicaicca.com的IP地址由45.125.217.19更换为了45.125.217.45，IP段相同通过对45.125.217.45的挖掘，查询威胁情报发现，该IP曾绑定域名dabaicaijja.com，查询dabaicaijja.com的威胁情报，本人发现了更多的样本，不过文件名称均未伪装成“Telegarm语言包安装程序”，文件名很散乱，但是确实都是木马程序和远控木马，并且存在强烈的同源性，样本恶意行为基本一致继续挖掘，又发现了dabaicaiffa.com同样既绑定了IP 45.125.217.45，也曾绑定过IP 45.125.217.19 通过挖掘dabaicaiffa.com，又发现了高度同源恶意样本情报进一步对45.125.217.45发现的样本进行挖掘，发现该病毒制作者曾用过同样的手法，同样是仿冒国外的社交软件——Potato：以样本11902186062ef9a19ab030eeb5159c15420a20136843fae715fe9a0e443a6331为例，我们发现样本同时连接45.125.217.45和另一个IP地址103.98.112.54，并且尝试下载hxxp://103.98.112.54/Potato.txt （疑似已挂）。样本运行后图片如下图所示： Ioc： dabaicaijja.com dabaicaicca.com dabaicaijja.com 103.98.112.54 45.125.217.19 45.125.217.45
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (2)
梦初雪雪币： 988 活跃值： (1289) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 1 关注私信	梦初雪 2022-3-8 00:03 2 楼 0 exe后缀就算了，tg的语言包后缀也不是exe的
wwwabc 雪币： 14 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 2 粉丝 0 关注私信	wwwabc 2022-3-8 22:47 3 楼 0 针对“Telegarm语言包安装程序”远控木马的持续追踪在上一篇追踪报道发出后今日，本人发现病毒的原远控服务器dabaicaicca.com的IP地址由45.125.217.19更换为了45.125.217.45，IP段相同通过对45.125.217.45的挖掘，查询威胁情报发现，该IP曾绑定域名dabaicaijja.com，查询dabaicaijja.com的威胁情报，本人发现了更多的样本，不过文件名称均未伪装成“Telegarm语言包安装程序”，文件名很散乱，但是确实都是木马程序和远控木马，并且存在强烈的同源性，样本恶意行为基本一致继续挖掘，又发现了dabaicaiffa.com同样既绑定了IP 45.125.217.45，也曾绑定过IP 45.125.217.19 通过挖掘dabaicaiffa.com，又发现了高度同源恶意样本情报进一步对45.125.217.45发现的样本进行挖掘，发现该病毒制作者曾用过同样的手法，同样是仿冒国外的社交软件——Potato：以样本11902186062ef9a19ab030eeb5159c15420a20136843fae715fe9a0e443a6331为例，我们发现样本同时连接45.125.217.45和另一个IP地址103.98.112.54，并且尝试下载hxxp://103.98.112.54/Potato.txt （疑似已挂）。样本运行后图片如下图所示： Ioc： dabaicaijja.com dabaicaicca.com dabaicaijja.com 103.98.112.54 45.125.217.19 45.125.217.45
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复