近日,一名 V2EX 用户(@qwqdanchun)在 Telegram 的某个汉化频道中发现了一个可疑文件。该文件采用 .com 后缀,具有明显的可执行文件特征。经过分析,该文件被证实为一个典型的投毒样本。
样本运行机制分析
该恶意文件本质上是一个下载器,其执行流程如下:
- 将 7zip 工具及其配套压缩包释放至
C:UsersPublicDownloads目录。 - 在上述路径通过快捷方式触发解压操作,将内容提取至名为
Tencente的文件夹中。
进一步分析解压后的文件,可以发现这是一套经典的 “白加黑” 加载方案,其核心是通过调用 2003 年版本的 Outlook 程序来掩盖恶意行为。
反分析与绕过手段
为了提高生存率并逃避检测,该样本采用了多种对抗技术:
- 沙箱绕过:通过检测鼠标移动等用户交互行为,判断当前是否处于自动化分析环境。
- 杀软规避:采用了近期国内黑产常用的“断网”手段,旨在绕过 360 等安全软件对异常启动项的实时拦截。
风险提示
由于该频道拥有近 80 万关注者,且分发的内容极具迷惑性,且文件已发布一个半月之久,预计受影响用户数量较多。请广大用户务必提高警惕,切勿随意下载并运行来源不明的可执行文件。
安全注意事项
在下载资源时,请特别留意文件的后缀名。如果所谓的“汉化包”或“插件”包含以下后缀,请立即停止操作:
.exe(Windows 可执行文件).com(可执行文件).bat(批处理命令脚本)
若需安装 Telegram 中文语言包,建议参考官方或可信的教程,如 电报 Telegram 中文语言包下载(telegram 中文设置),避免在非正规渠道下载可执行程序。
正文完
