【核查报告No：8】小型软件在线更新方法，不需服务器让更新永不失效，老方法

兔子君 · 发表于 2018-12-1 16:12:23

本帖最后由兔子君于 2018-12-1 16:15 编辑

被举报帖：https://bbs.125.la/forum.php?mod=viewthread&tid=14264641

后台收到会员举报，称此帖源码文件中有植入病毒操作。收到举报并有相关操作说明，根据说明进行核查分析，结果如下：

1.1.png

通过直接截断代码调试获得内置的加密信息解密后的结果
* “https://www.douban.com/note/694315517/”
* “https://raw.githubusercontent.co ... oad/test_ed_403.txt”
1.9.png

访问获得实际存放的加密信息
加密信息为嫌疑文件下载地址与配置信息
将嫌疑文件下载分析后得到一下几点特征（联合论坛项目部分析）

一、嫌疑文件运行后将枚举电脑上文件；
二、分析、记录、上传部分文件到服务器；
三、针对易语言文件中的支持库进行植入恶意代码操作；
四、记录键盘与用户操作行为并上传服务器；

针对第三点重点说明
、植入的病毒会继续执行截图中的操作行为，且这个植入操作是直接植入到易语言的核心库与模块中；
、换言之就是只要用被感染核心库编译任何文件，一旦运行，则被运行的电脑中的易语言相关文件也会被感染；
、这样不管是开发者或者是使用者均会感染并被监控；
、监控键盘与上传文件的操作疑似存在记录帐号密码并上传的行为；

以上信息为被举报贴核查报告。
进一步核查历史帖子是否也有相关操作，继续核查得到两个帖子中有会员回复病毒的信息
2.1.png

这两个帖子均附带成品exe与dll ,无法准确判定是有意还是无意(被感染的情况编译的成品)

但是进行更细致的核查分析时，又到一个帖子中的模块也附带了恶意文件。
核查如下：
被核查帖子：https://bbs.125.la/forum.php?mod=viewthread&tid=14242475

2.3.png