模块内含可疑代码，可能含有后门和木马

dangerace

帖子：zc全部热键、监视功能键状态是否按下.ec_精易论坛 (125.la)
其模块经反编译后，发现存在以下问题：
1、每次模块启动，都要访问作者的多个QQ空间地址。
2、模块内部除了正常功能代码以外，还有一个匿名程序集，内部包含有get、post等本模块功能中不应该出现的命令。

  

子程序名	返回值类型	公开	备 注
_启动子程序	整数型

匿名子程序_10 (“http://user.qzone.qq.com/935960382/infocenter”)
匿名子程序_10 (“http://user.qzone.qq.com/80767315/infocenter”)
匿名子程序_10 (“http://user.qzone.qq.com/17961989/infocenter”)
匿名子程序_1 ()  '
返回 (0)  '

.版本 2<br /> <br /> .子程序 _启动子程序, 整数型<br /> <br /> 匿名子程序_10 (“<a href="http://user.qzone.qq.com/935960382/infocenter" rel="nofollow" rel="nofollow" target="_blank">http://user.qzone.qq.com/935960382/infocenter</a>”)<br /> 匿名子程序_10 (“<a href="http://user.qzone.qq.com/80767315/infocenter" rel="nofollow" rel="nofollow" target="_blank">http://user.qzone.qq.com/80767315/infocenter</a>”)<br /> 匿名子程序_10 (“<a href="http://user.qzone.qq.com/17961989/infocenter" rel="nofollow" rel="nofollow" target="_blank">http://user.qzone.qq.com/17961989/infocenter</a>”)<br /> 匿名子程序_1 ()  ' <br /> 返回 (0)  '

  

如果真 (寻找文本 (匿名局部变量_7, “Accept: ”, 1, 真) ＝ -1)
匿名局部变量_7 ＝ 匿名局部变量_7 ＋ “Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*” ＋ #换行符
如果真 (寻找文本 (匿名局部变量_7, “Referer: ”, 1, 真) ＝ -1)
匿名局部变量_7 ＝ 匿名局部变量_7 ＋ “Referer: ” ＋ 匿名局部变量_2 ＋ #换行符
如果真 (寻找文本 (匿名局部变量_7, “Accept-Language: ”, 1, 真) ＝ -1)
匿名局部变量_7 ＝ 匿名局部变量_7 ＋ “Accept-Language: zh-cn” ＋ #换行符

'
判断 (匿名局部变量_3 ＝ “” 或 到大写 (匿名局部变量_3) ＝ “GET”)
匿名API_HttpSendRequestA_6 (匿名局部变量_13, 匿名局部变量_7, 取文本长度 (匿名局部变量_7), 到字节集 (字符 (0)), 0)
判断 (到大写 (匿名局部变量_3) ＝ “POST”)
如果真 (取字节集长度 (匿名局部变量_8) ＞ 0)
如果真 (寻找文本 (匿名局部变量_7, “Content-Type: ”, 1, 真) ＝ -1)
匿名局部变量_7 ＝ 匿名局部变量_7 ＋ “Content-Type: application/x-www-form-urlencoded” ＋ #换行符
匿名局部变量_7 ＝ 匿名局部变量_7 ＋ “Content-Length: ” ＋ 到文本 (取字节集长度 (匿名局部变量_8)) ＋ #换行符

匿名API_HttpSendRequestA_6 (匿名局部变量_13, 匿名局部变量_7, 取文本长度 (匿名局部变量_7), 匿名局部变量_8, 取字节集长度 (匿名局部变量_8))

匿名API_InternetCloseHandle_2 (匿名局部变量_13)

.版本 2<br /> <br /> .如果真 (寻找文本 (匿名局部变量_7, “Accept: ”, 1, 真) ＝ -1)<br />     匿名局部变量_7 ＝ 匿名局部变量_7 ＋ “Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*” ＋ #换行符<br /> .如果真结束<br /> .如果真 (寻找文本 (匿名局部变量_7, “Referer: ”, 1, 真) ＝ -1)<br />     匿名局部变量_7 ＝ 匿名局部变量_7 ＋ “Referer: ” ＋ 匿名局部变量_2 ＋ #换行符<br /> .如果真结束<br /> .如果真 (寻找文本 (匿名局部变量_7, “Accept-Language: ”, 1, 真) ＝ -1)<br />     匿名局部变量_7 ＝ 匿名局部变量_7 ＋ “Accept-Language: zh-cn” ＋ #换行符<br /> .如果真结束<br /> <br /> ' <br /> .判断开始 (匿名局部变量_3 ＝ “” 或 到大写 (匿名局部变量_3) ＝ “GET”)<br />     匿名API_HttpSendRequestA_6 (匿名局部变量_13, 匿名局部变量_7, 取文本长度 (匿名局部变量_7), 到字节集 (字符 (0)), 0)<br /> .判断 (到大写 (匿名局部变量_3) ＝ “POST”)<br />     .如果真 (取字节集长度 (匿名局部变量_8) ＞ 0)<br />         .如果真 (寻找文本 (匿名局部变量_7, “Content-Type: ”, 1, 真) ＝ -1)<br />             匿名局部变量_7 ＝ 匿名局部变量_7 ＋ “Content-Type: application/x-www-form-urlencoded” ＋ #换行符<br />         .如果真结束<br />         匿名局部变量_7 ＝ 匿名局部变量_7 ＋ “Content-Length: ” ＋ 到文本 (取字节集长度 (匿名局部变量_8)) ＋ #换行符<br />     .如果真结束<br /> <br />     匿名API_HttpSendRequestA_6 (匿名局部变量_13, 匿名局部变量_7, 取文本长度 (匿名局部变量_7), 匿名局部变量_8, 取字节集长度 (匿名局部变量_8))<br /> <br /> .默认<br />     匿名API_InternetCloseHandle_2 (匿名局部变量_13)

lirupeng

在哪里下载啊

dangerace

正鑫软件开发 发表于 2022-4-14 18:53
没问题的
他访问QQ空间肯定需要post的代码啊

没问题最好，因为我用这个模块开发了自己的软件，很多人在用，如果有问题，那我就冤死了，造成影响我也负担不起啊

正鑫软件开发

没问题的
他访问QQ空间肯定需要post的代码啊

阿杰大大

dangerace 发表于 2022-4-13 15:02
这个模块功能是监视按键状态，但又要加入访问自己QQ空间的代码，这不免让人怀疑作者是不是要做点什么。您 ...

**空间访问量?但没这么简单,所以只能证明作者技术平平无奇,他认为这样访问能增加访问量,不过没有到后门层次那么严重,只是夹了点私货而已,我指的只是普通访问网址,不知道内部代码有没有其他代码.

dangerace

阿杰大大 发表于 2022-4-13 09:58
他要网页访问,肯定得有函数啊,抄的精易模块.啧啧啧.如果内部匿名代码很多的话,那就有可能直接加载了精易模 ...

这个模块功能是监视按键状态，但又要加入访问自己QQ空间的代码，这不免让人怀疑作者是不是要做点什么。您能大致看出，作者的这些跟网页访问相关的代码是想要干点什么么？

阿杰大大

他要网页访问,肯定得有函数啊,抄的精易模块.啧啧啧.如果内部匿名代码很多的话,那就有可能直接加载了精易模块.