V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
qwqdanchun
V2EX  ›  Telegram

Telegram 某汉化频道被投毒

  •  4
     
  •   qwqdanchun · 2022-04-21 23:40:18 +08:00 · 16975 次点击
    这是一个创建于 945 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天无意间看到了一个 TG 的汉化频道,入眼就是一个 com 后缀的可执行文件,正好有时间就下载下来分析了一下

    Lgidzj.png

    具体分析步骤就不赘述了,该文件为一个下载器,会释放 7zip 及压缩包至 C:\Users\Public\Downloads 目录,并在该位置通过快捷方式执行解压至文件夹 Tencente ,结果如图:

    LgFtn1.png

    解压后得到一套经典的白加黑文件,利用的是 2003 年的一个 Outlook 的程序

    LgkkE6.png

    除此之外,该样本使用了检测鼠标移动等方式绕过沙箱分析,通过近期国内黑产常用的断网方法绕过 360 等杀软对启动项的拦截

    该频道有近 80 万关注者,且内容及其具有迷惑性,距离文件发出已经过去了一个半月,想来中招的人不在少数,希望大家注意不要轻易下载未知软件,保证自身安全

    53 条回复    2023-02-16 17:39:16 +08:00
    ARerichvonlx
        1
    ARerichvonlx  
       2022-04-21 23:42:06 +08:00 via Android
    防不胜防啊,这个汉化频道好像 2 年前停止维护了
    fantasylidong
        2
    fantasylidong  
       2022-04-21 23:43:43 +08:00 via Android
    不知道是不是被卖了个好价格或者被坑了
    MaiKuraki
        3
    MaiKuraki  
       2022-04-21 23:52:58 +08:00 via Android
    这个频道的链接是?
    qwqdanchun
        4
    qwqdanchun  
    OP
       2022-04-21 23:55:45 +08:00
    jsgydcy
        5
    jsgydcy  
       2022-04-22 00:05:02 +08:00 via iPhone
    卧槽,怎么排查用的哪个
    pcbl
        6
    pcbl  
       2022-04-22 00:07:49 +08:00 via Android   ❤️ 1
    大概率是是频道主就是下毒的人
    apkpure
        7
    apkpure  
       2022-04-22 00:08:13 +08:00   ❤️ 7
    @qwqdanchun
    @jsgydcy

    是高仿的,已经停更的原频道是 https://t.me/zh_CN

    这个高仿的浏览量也有 112k ,中招的太多了

    我还在某电报搜索群发现了更多高仿的,应该都是病毒

    https://t.me/zh_CN_chinas

    https://t.me/zh_CN118

    https://t.me/zh_cnj

    https://t.me/zh_cn_telegramr

    https://t.me/asd456daZH_CN

    https://t.me/zh_cn726

    https://t.me/zAhonwfZH_CN
    pcbl
        8
    pcbl  
       2022-04-22 00:12:10 +08:00 via Android
    微信表示这种小儿科手段老子一个手指头就能都干趴下了
    hazy
        9
    hazy  
       2022-04-22 00:25:31 +08:00
    看了眼正版的 61w 订阅,高仿的 78w 订阅
    CipherSysu
        10
    CipherSysu  
       2022-04-22 00:25:39 +08:00
    @apkpure 这些频道的订阅者应该都是买来的僵尸粉,Telegram 上有成规模的买粉交易
    apkpure
        11
    apkpure  
       2022-04-22 00:30:43 +08:00
    @CipherSysu 僵尸粉也能刷浏览量吗?我以为只能刷订阅数
    CipherSysu
        12
    CipherSysu  
       2022-04-22 00:32:58 +08:00   ❤️ 3
    还有一个高仿的频道 https://t.me/zh_zh_cn 有 122 万粉,真的夸张
    CipherSysu
        13
    CipherSysu  
       2022-04-22 00:35:24 +08:00
    @apkpure 可以的,中文圈 Telegram 频道不怎么盈利玩这一套的人少,波斯文、俄文圈的频道把这个玩出花来,杜罗夫叔叔也不管管
    laydown
        14
    laydown  
       2022-04-22 00:44:09 +08:00   ❤️ 5
    这简直是抓住了痛点,需要汉化的人还真的可能是下毒目标啊……
    apkpure
        15
    apkpure  
       2022-04-22 00:51:15 +08:00   ❤️ 1
    @CipherSysu Telegram 确实是网络犯罪的天堂
    RobertLyu
        16
    RobertLyu  
       2022-04-22 01:05:04 +08:00 via iPhone   ❤️ 18
    欢迎使用本人翻译的版本“简体字”。

    https://t.me/setlanguage/jiantizi

    复制链接到 Telegram 中并使用 Telegram 打开,自动汉化。不需要下载任何可执行文件或者安装包。完全官方渠道,自动同步更新新词条。

    自 2020 年 4 月起持续维护并更新。欢迎使用。
    blueboyggh
        17
    blueboyggh  
       2022-04-22 01:24:54 +08:00 via Android
    @RobertLyu 已使用,感谢,有群组吗?
    x86
        18
    x86  
       2022-04-22 01:54:38 +08:00 via iPhone   ❤️ 1
    想起社工库之前发的公告,一些修改版的 tg 会把它转账地址替换,本地显示无异常。防不胜防
    xing7673
        19
    xing7673  
       2022-04-22 08:19:53 +08:00 via iPhone   ❤️ 1
    我看到有汉化库的打广告就觉得这玩意不靠谱。
    所以一直没用,ios 之前有用过应该不会中招吧。
    tyzrj766
        20
    tyzrj766  
       2022-04-22 09:04:19 +08:00
    高仿频道的数据应该是刷的,TG 上有人做这些业务,否则短期一个月内不可能有这么多人在关注这些频道
    ghjexxka
        21
    ghjexxka  
       2022-04-22 09:07:59 +08:00
    高仿而已,本质上还是抓住了很多人总是期望别人对自己负责的心理
    HeyWeGo
        22
    HeyWeGo  
       2022-04-22 09:28:09 +08:00
    什么意思?汉化库是指汉化哪方面内容?
    Woodrow
        23
    Woodrow  
       2022-04-22 09:32:42 +08:00   ❤️ 1
    @jsgydcy #5 语言包没事,主要是这个语言包频道发的 .com 文件有毒
    Woodrow
        24
    Woodrow  
       2022-04-22 09:34:04 +08:00   ❤️ 1
    另,比较喜欢的语言包,https://t.me/setlanguage/moecn
    Leonard
        25
    Leonard  
       2022-04-22 09:36:51 +08:00
    @HeyWeGo #22 汉化 Telegram App 的 UI 界面的吧,Telegram 语言设置项里没有中文。
    ST0RMTR00PER
        26
    ST0RMTR00PER  
       2022-04-22 09:37:30 +08:00
    通通举报了,不知道有没有用。
    Cloud9527
        27
    Cloud9527  
       2022-04-22 09:39:10 +08:00
    电报不用汉化也能用把
    HFX3389
        28
    HFX3389  
       2022-04-22 09:56:43 +08:00
    虽然这是 Windows 的,Android 和 iOS 看着瑟瑟发抖
    Zy143L
        29
    Zy143L  
       2022-04-22 09:56:59 +08:00 via Android
    所以说 用 plus 多好的 电脑版本的 tg 有中文来着
    leafre
        30
    leafre  
       2022-04-22 10:00:33 +08:00
    想知道具体分析步骤
    gam2046
        31
    gam2046  
       2022-04-22 10:22:18 +08:00   ❤️ 1
    所以说,就 UI 上那几个简单的英文哪怕不认识,百度翻译啥的,查个两三次也知道是什么意思了。用这些来源不明的,意义真心不大。
    miaomiao888
        32
    miaomiao888  
       2022-04-22 10:52:11 +08:00
    这频道今年 2 月才创建就有 80 万订阅,难道一个多月就能拉拢这么多人?搞黄也没这么强的吧!
    sunday229
        33
    sunday229  
       2022-04-22 10:52:27 +08:00
    还好我的 downloads 里面是空的
    james504
        34
    james504  
       2022-04-22 14:22:09 +08:00   ❤️ 2
    你这个群组是高仿的,正牌的最后一条信息停留在 2020.4.12 且订阅量在 618K.
    另外像我的英语水平最多小学水平,不用翻译这里面应该也没有不认识的东西吧所以翻译不翻译可以都不用。
    wtdd
        35
    wtdd  
       2022-04-22 15:10:18 +08:00
    用 tg 都要汉化的,中招也不稀奇了
    abcd191898105
        36
    abcd191898105  
       2022-04-22 18:08:45 +08:00 via iPhone
    我草。好吓人。还好我一直是用的正版的 68 万订阅的那个。吓死宝宝了
    icebearloveu
        37
    icebearloveu  
       2022-04-22 19:30:22 +08:00 via iPhone
    看见频道名字感觉有点奇怪,怎么这么长,原来是高仿
    rat007
        38
    rat007  
       2022-04-22 20:59:12 +08:00
    需要汉化的,多是一些在菲律宾,柬埔寨,迪拜,马来西亚的中国人,在这些国家的中国人,工作性质不用多言。我在超级索引大概搜了一下中文,中文包等关键词,排名前十的有七个是该团伙投毒的频道。传播之广泛可想而知。从他们的目标群体,也不难推算他们背后的买卖,有多暴利。 我已反馈超级索引客服,已屏蔽他们的搜索排名,但是频道依旧存在,受害群体也在不断扩大。
    codehz
        39
    codehz  
       2022-04-22 23:26:52 +08:00
    关注者基本都是假的,并不是真的有那么多人受骗)
    jiuhuicinv
        40
    jiuhuicinv  
       2022-04-22 23:58:31 +08:00
    高仿比正版人数还多 这就很离谱
    nonwill
        41
    nonwill  
       2022-04-23 00:41:12 +08:00   ❤️ 1
    说个笑话(大实话):
    去年某日始,GoldenDict++OCR 文档访问统计量突发激增(倍增) -- 多在全球地图上个别比较确定的地区,猜应是某词典分享论坛的活跃用户(大量仓鼠马甲)所为,遂于应用启动首页加国家反诈中心宣传图样一张,嘎然间访问量骤减有半,弓惊鸟散,效果斐然,如神针定海...
    哈哈,至今有几个仓鼠傻缺还是念念不忘这茬儿...

    诈骗从业者渗透在各行各业,防不胜防,上网安全不是小事儿...
    MoRanjiang
        42
    MoRanjiang  
       2022-04-23 00:47:46 +08:00 via Android
    八十万很有可能是刷的
    Marionic0723
        43
    Marionic0723  
       2022-04-23 08:19:42 +08:00 via Android
    这个东西会干什么,上传用户资料吗,期待大佬们分析一波
    Spark100
        44
    Spark100  
       2022-04-23 16:29:48 +08:00
    没关注这个频道
    iPhone11
        45
    iPhone11  
       2022-04-23 17:10:43 +08:00
    @Marionic0723 这个会当肉鸡 我月初已经中毒了
    iPhone11
        46
    iPhone11  
       2022-04-23 17:12:36 +08:00
    ```
    进程行为
    行为描述: 创建本地线程
    详情信息:
    TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2468, StartAddress = 77DC845A, Parameter = 00000000

    TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2600, StartAddress = 77C0A341, Parameter = 003F72A0

    TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2604, StartAddress = 77C0A341, Parameter = 003F72A0

    TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2624, StartAddress = 77C0A341, Parameter = 003F7330

    TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2848, StartAddress = 77C0A341, Parameter = 003F73C0

    行为描述: 枚举进程
    详情信息:
    N/A

    文件行为
    行为描述: 重命名文件
    详情信息:
    C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe ---> C:\Program Files\Common Files\3B0BDBEB.exe

    网络行为
    行为描述: 打开指定 IE 网页
    详情信息:
    tg://setlanguage?lang=classic-zh-cn

    行为描述: 建立到一个指定的套接字连接
    详情信息:
    URL: da****om, IP: **.216.117.**:8000, SOCKET = 0x00000114

    行为描述: 按名称获取主机地址
    详情信息:
    gethostbyname: da****om

    注册表行为
    行为描述: 修改注册表
    详情信息:
    \REGISTRY\MACHINE\SYSTEM\ControlSet002\Software\Wxyabc Efghijkl Nop\MarkTime

    \REGISTRY\USER\S-*\Software\Microsoft\ActiveMovie\devenum\Version
    复制代码



    Address 185.216.117.5
    Hostname noc.ayidc.com
    ISP Cloudie Limited
    IP Organization Cloudie Limited
    ASN AS55933
    ASN Organization Cloudie Limited
    Location 香港
    ```
    Marionic0723
        47
    Marionic0723  
       2022-04-23 20:42:31 +08:00
    @iPhone11 是国宝钓鱼查 IP 吗
    renzhezhu
        48
    renzhezhu  
       2022-04-24 00:24:47 +08:00
    兄弟们,我中招了,现在应该咋整,杀毒杀不出东西,文件已经删除了
    Sun658
        49
    Sun658  
       2022-04-24 09:57:42 +08:00 via Android
    有没有大哥 中招了怎么搞
    laydown
        50
    laydown  
       2022-04-25 21:01:03 +08:00
    @renzhezhu
    @Sun658

    如果是我自己,为了保险起见,会将重要数据备份好之后,进行全盘格式化,重装系统。
    tyAngelCc
        51
    tyAngelCc  
       2022-05-02 10:34:06 +08:00 via iPhone
    https://t.me/setlanguage/chinese-ancient
    https://t.me/setlanguage/encha
    https://t.me/setlanguage/taiwan

    從來都用繁體字還有文言文漢化,踩坑的機率小,甚至還有魔法師版本的

    https://t.me/setlanguage/classic-zh-cn
    簡體的話,比較靠譜的是這個
    zsylife
        52
    zsylife  
       2022-05-05 00:35:32 +08:00
    zh_CN_Telegram_zh_CN_CN_zh_ch_zn 看这个我笑了 这是什么鬼
    mayli
        53
    mayli  
       2023-02-16 17:39:16 +08:00
    Windows 10 默认的防火墙可以检测到,当然一堆用奇葩关闭 defender 的可能就中招了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1551 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 17:04 · PVG 01:04 · LAX 09:04 · JFK 12:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.