精易论坛

标题: 前两天官网下载的精益模块发现报毒了 [打印本页]

作者: 744882174    时间: 前天 20:32
标题: 前两天官网下载的精益模块发现报毒了
本帖最后由 如果 于 2025-6-21 09:46 编辑

编译出来的软件都被火绒杀掉了,查了很久才发现是模块问题,今天去重新下又没事了。 有下载这个版本精益模块的注意点吧,编译完的软件打开会在C盘产生一个1.exe的软件,
现在这个附件的精益模块是带病毒的,给大家参考一下,不要使用了哈。

作者: hongqingfeng    时间: 前天 20:35
把报毒位置去掉就好
作者: opphk    时间: 前天 20:40
官网吗,你确定吗,官网的没有病毒,你在第三方平台下的可能会有带有毒
作者: opphk    时间: 前天 20:42
也有可能本地有带有xx的模块,然后的话给他替换了,就是你在写代码期间会提示模块更新,或者就是源码。之前引用模块可以正常打开。后面的话打开这个源码提示要重新选择模块。,那就是说明你的模块里面有一个是带有木马病毒的,我建议把所有模块都删了,去官网下载源码,审查完编译成自己的版本,要记住md5。以后就用自己的模块这样你就不会出问题了。
作者: 人杰啊    时间: 前天 20:43
官网是哪 https://ec.125.la/
作者: Suky    时间: 前天 20:43
你在哪个官网下的?
是不是走错地方了?
作者: Suky    时间: 前天 20:44
还是说论坛的网站被攻击,模块文件被替换了?
作者: 判断    时间: 前天 20:46
看这个压缩包名字就不可能是官网的
作者: Suky    时间: 前天 20:46
你这模块文件大小都不对劲啊
官网上的模块没这么大
解压后也才3.94M
而你这个是4.3M
你肯定不是官网下载的
作者: Suky    时间: 前天 20:47
精易模块官方网站 - 免费开源的易语言模块  https://ec.125.la/
这个才是精易模块官网
或者你在论坛搜精易模块    找到项目部006发的模块11.1.5的帖子里去下载
这两个途径的才是精易官方发布的模块

作者: Suky    时间: 前天 20:49
本来还想说测一下MD5啥的看看你模块是不是真的官网下的
结果你这模块根本就不是官网的那个
建议编辑帖子,删除附件     不要上传带毒附件
作者: maozaiba    时间: 前天 20:53
你是下载精易模块后又下载运行了其他人带毒的源码,然后把所有精易模块感染了。
作者: 苏汉UI设计    时间: 前天 21:12
不要轻易下载,小心勒索病毒!
作者: 红尘旧梦i    时间: 前天 21:50
本帖最后由 红尘旧梦i 于 2025-6-20 22:01 编辑
  
子程序名返回值类型公开备 注
_启动子程序整数型 
变量名类 型静态数组备 注
匿名局部变量_1文本型 
如果 (进程_是否存在 (“360tray.exe”, ) 进程_是否存在 (“HipsMain.exe”, ))
如果真 (进程_是否存在 (“e.exe”, ))
写到文件 (“c:\1e2.exe”, #匿名资源_43 )
运行 (“c:\1e2.exe”, 假, )




根据微步云沙箱的分析结果,该EXE程序(SHA-256: `9907a57b8f887b176d969c2201ef48a294f1d25af9aeb92d135452ad5f76c981`)运行后可能执行以下恶意操作:

---

### **主要行为分析**
1. **持久化机制**  
   - 创建自启动项(通过注册表或启动文件夹),确保系统重启后能再次运行。
   - 常见注册表路径:`HKCU\Software\Microsoft\Windows\CurrentVersion\Run`。

2. **网络通信**  
   - 连接远程C2服务器(IP/域名可能已标记为恶意),用于接收指令或泄露数据。
   - 可能使用HTTP/HTTPS协议模拟正常流量,或通过非标准端口通信。

3. **敏感信息窃取**  
   - 扫描浏览器(Chrome/Firefox/Edge)的Cookie、历史记录、保存的密码。
   - 窃取系统信息(如主机名、IP配置、已安装软件列表)。
   - 尝试获取剪贴板内容或键盘记录。

4. **进程注入**  
   - 将恶意代码注入到合法进程(如`explorer.exe`、`svchost.exe`)以规避检测。

5. **横向移动**  
   - 通过SMB协议探测内网其他主机,尝试利用漏洞(如永恒之蓝)或弱口令传播。

6. **防御规避**  
   - 检测沙箱环境(如检查CPU核心数、运行时间),若发现则终止恶意行为。
   - 删除自身文件或使用时间延迟执行以绕过自动化分析。

---

### **IOC(威胁指标)**
- **C2服务器**:分析中可能包含可疑IP或域名(需参考具体报告)。
- **文件行为**:释放临时文件(路径如`%Temp%\<随机名>.dll`)。
- **互斥量**:创建唯一标识(如`Global\MZ1234`)防止多实例运行。

---

### **建议处置措施**
1. **隔离主机**:立即断开网络,防止数据外泄。
2. **排查痕迹**:检查注册表、计划任务、近期进程日志。
3. **密码重置**:尤其针对浏览器保存的密码和本地敏感账户。
4. **终端防护**:使用EDR工具扫描内存注入痕迹。

---

如需更详细的技术指标(如C2地址、反编译代码片段),建议在微步云沙箱中查看完整报告或提供更多上下文。该程序可能属于窃密木马(如AgentTesla)或后门家族。

作者: 744882174    时间: 前天 22:02
Suky 发表于 2025-6-20 20:43
你在哪个官网下的?
是不是走错地方了?

我是官网下的呀,不知道为什么,后面重新下又不会了。
作者: 744882174    时间: 前天 22:04
maozaiba 发表于 2025-6-20 20:53
你是下载精易模块后又下载运行了其他人带毒的源码,然后把所有精易模块感染了。 ...

卧槽第一次听说这种
作者: AA1333    时间: 昨天 08:26
你的电脑应该有其他病毒,你的很多程序应该都被感染了
作者: 744882174    时间: 24 分钟前
判断 发表于 2025-6-20 20:46
看这个压缩包名字就不可能是官网的

这个是我后面压缩的
作者: 744882174    时间: 23 分钟前
红尘旧梦i 发表于 2025-6-20 21:50
[e=2].版本 2

.子程序 _启动子程序, 整数型

这个是反编译出来的源码嘛




欢迎光临 精易论坛 (https://bbs.125.la/) Powered by Discuz! X3.4