易语言破解版捆绑窃取用户源码 自动上传至服务器
本帖最后由 Time丨Brand 于 2019-5-19 14:28 编辑前言
本人萌新一枚,在本版第一次发帖,可能有点水,还请各位大佬多多关照。
基本信息
文件名称: 易语言5.8 内置多种插件 支持黑月编译.7z
文件大小: 223097 KB ( 217 MB)
文件MD5 校验值:4B3E3C303284D2BB8773F959A4C42DA7
文件SHA1 校验值:c6885a864ef3b28c5879b799a6b82e78f301c7b8
简介
1、打开易语言源程序后,窃取用户源码,自动上传至 FTP 服务器。
2、易语言运行后CPU占用50%左右,疑似挖矿病毒或在收集用户磁盘信息,本人技术有限,暂不对此研究,在此抛砖引玉,向各位大佬学习。
被感染系统及网络症状
1、打开易语言源码后,杀毒软件网络连接监控软件中,易语言进程包含21号端口的网络连接,且存在上传流量异常。
2、易语言运行后CPU占用异常,始终占用50%左右。
3、样图:
网络症状
每次打开易语言源码后,建立网络连接 188.131.235.100:21,将用户源码上传至FTP服务器。
详细分析
1、打开 Wireshark 抓包软件,开始抓包。
2、使用此样本,随便打开一个易语言源码,遂即出现与服务器建立的相关链接。
3、追踪TCP流,获得上传的FTP服务器账户信息。
4、使用FTP客户端成功登录,发现目录空白,随便上传一个文件,上传成功,但刷新后又是空白。
由此可知服务器限制了此账号的访问权限,接着就没怎么研究,欢迎各位大佬继续跟进。
相关服务器信息分析
窃取源码的FTP服务器信息,该账号只有上传权限,不能修改删除:
主机名:188.131.235.100
端口:21
用户名:FtpUser
密码:qazxswpanzer
预防及修复措施
1、删除此易语言版本的相关目录。
2、杀毒软件查杀。
技术热点及总结
1、大家还是谨慎下载网络论坛上的编程、服务器连接、FTP工具等,最好从官网下载。
2、遇到防火墙网络连接提醒,谨慎给予相关权限。
3、使用正版软件。
样本下载
链接:https://pan.baidu.com/s/1ywfeiWb4x9ygZhynx4Kx4Q 提取码:i34y
解压密码:52pojie 我刚刚用公司的100M上行专线,上传了xp,win7,win8,win10,server2008-2019,还有其他几乎所有Linux系统的iso文件 我来补充个
查询此ip为腾讯云的,应该可以举报吧,哈哈哈
另外百度搜索FTP的密码"qazxswpanzer"
发现了一个和密码一样的百度ID,恰好问题问的也是易语言~
https://zhidao.baidu.com/question/371162427.html
想要搞他的话,可以给他FTP里面上传垃圾嘛……
多几个人一起上传能把他的带宽全部占完
我上传了一个Win10的ISO{:1_918:} 咱也不敢问,咱也不敢说,咱不让它联网就行了
下载了程序大致看了看,很简单。
易语言会检索lib目录下的文件并加载,目录下有一个lib.dll。
本帖最后由 初音未来 于 2019-5-19 21:10 编辑
总差一点点 发表于 2019-5-19 19:27
我来补充个
查询此ip为腾讯云的,应该可以举报吧,哈哈哈
手机号17631637556查出来了,可以塞进轰炸机:lol 本帖最后由 三片叶子的小草 于 2019-5-20 10:36 编辑
既然你们都上传ISO ,那我就上传PS吧,希望他能做个好看的UI 总差一点点 发表于 2019-5-19 19:27
我来补充个
查询此ip为腾讯云的,应该可以举报吧,哈哈哈
@神の心痛 这木马你写的? 外面那些野生破解,各种问题.不敢用啊. {:1_921:}我都把52当资源集散地了。软件用的放到少。 {:1_911:}下载的非官方的破解版怪起正版的来了
Su、 发表于 2019-5-19 14:26
下载的非官方的破解版怪起正版的来了
我的锅,帖子标题没写清楚,改了 你让我恐慌了起来,幸好我不怎么会写程序! 呵呵 我也比较喜欢玩红警,80后的记忆。 我很好奇你们那里下载的